shy_snow的专栏

下载zkui源码后，修改pom.xml中jetty版本号后从新打包即可。git clone git@github.com:DeemOpen/zkui.git

#尾部插入一条记录,拒绝ip访问除了22端口以外的所有端口iptables -A INPUT -s 192.1.217.54 -p tcp -m tcp ! --dport 22 -j REJECT# 第一行插入规则允许通过的端口号iptables -I INPUT 1 -s 192.1.217.54 -p tcp -m tcp --dport 8020 -j ACCEPT

1.Windows安装 Kerberos 客户端;2.配置 krb5.ini3.执行 kinit 发起认证4.浏览器可信配置,在浏览器输入about:config打开配置:输入 `network.auth.use-sspi`，并点击切换到 `false`;输入 `network.negotiate-auth.trusted-uris`，输入可信 URL 地址;输入 `network.negotiate-auth.delegation-uris`;

kerberos可以init但是连不上hadoop,禁用upd后成功连接hadoop集群，解决在krb5.conf中禁用udp 在[libdefaults]下设置udp_preference_limit = 1

zookeeper3.6安全漏洞CVE-2022-2048和CVE-2021-28169, 替换zookeeper的lib目录下的7个jetty为9.4.47版本jar包后重启zookeeper,即可。jetty9.4.47下载地址https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/

#切换hbase的admin用户的票据后hbase shell#给hdfs赋权 权限有5个 RWXCAgrant 'hdfs', 'RWXCA'#收回授权revoke 'hdfs'

bin/false 限制不使用ssh, ChrootDirectory限制sftp根目录(该目录必须为root用户root属组,权限要是755,可以在该目录创建子目录并修改子目录属组来给其他用户操作)

Kafka使用JAAS（Java认证和授权服务）进行SASL(基于网络连接的安全认证机制)配置。通过三个步骤即可实现JAAS安全认证:(1) 配置jaas相关信息(2) 开启SASL/Kerberos认证(3) 通过脚本将配置信息传递给java虚拟机,这样java的JAAS服务才能根据配置进行认证和授权服务。不论是zookeeper集群还是kafka集群都是如此。.........

windows上需要把krb5.conf改为krb5.ini, 寻找krb5.ini的位置按优先级如下:1.由 java.security.krb5.conf 引用的文件2.%java.home%/lib/security/krb5.conf3. c:\winnt\krb5.ini。推荐还是在jvm参数里设置-Djava.security.krb5.conf=d:/test/krb5.ini这个亲测有效

jdk8u171开始增加了jceks.key.serialFilter属性限制证书序列化的类,增强安全性,不在这个属性中的类将会被拒绝Rejected, 从而导致kms服务重启后需要从keystore中反序列化加载SecretKeyEntry加密密钥时失败从而无法recover还原密钥信息。只要将被Rejected的类加入jre/lib/security/java.security中的jceks.key.serialFilter中就可以了。jceks.key.serialFilter = java.l

KMS是hadoop自2.6.0版本开始自带的一个密钥管理web服务,提供了一系列API来创建，获取和维护密钥。kms与hadoop结合，可以实现hdfs客户端数据加密传输以及细粒度的权限控制。本文使用Hadoop 2.6.0-cdh5.13.3为例进行kms服务配置启动及hdfs文件加密传输示例。配置kms密钥仓库的文件位置和操作密码 1. kms-site.xml （一般默认的就可以了不修改也行） <property> <name>hadoop...