zookeeper ACL 权限控制

最新推荐文章于 2024-01-25 01:55:47 发布
最新推荐文章于 2024-01-25 01:55:47 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: Zookeeper 文章标签: Zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CREATE_17/article/details/89300811
版权

版本说明:

zookeeper:3.4.6

一、概述

zooKeeper使用acl(Access Control List)来控制对其znode(zooKeeper数据树的数据节点)的访问。 不过,zookeeper的acl并不像HDFS系统的acl一样,可以递归控制权限。zookeeper的acl不是递归的,仅适用于特定的znode。比如/app这个znode,设置一些权限,只能某用户可以访问,但是/app/status的权限是与/app没有关系的,默认是world:anyone:cdrwa

总的来说。zookeeper的acl特点可以分为以下几点:

  • zooKeeper的权限控制是基于每个znode节点的,需要对每个节点设置权限。
  • 每个znode支持设置多种权限控制方案和多个权限。多种权限控制方案以逗号分隔,例如:setAcl /hiveserver2 sasl:hive:cdrwa,world:anyone:r
  • 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点。

二、权限类型

当客户端连接到zooKeeper并对其自身进行身份验证,当客户端尝试访问znode节点时,将检查znode的acl。 acl由(scheme:expression:permission)对组成,表达式的格式特定于scheme。例如,该对(ip:19.22.0.0/16:r)为任何IP地址以19.22开头的客户端提供READ权限。

zookeeper默认所有节点都是world:anyone:cdrwa,即所有人都拥有这五个权限,按顺序分别为:

  • Create:允许对子节点Create操作
  • Delete:允许对子节点Delete操作
  • Read:允许对本节点GetChildren和GetData操作,有对本节点进行删除操作的权限
  • Write:允许对本节点SetData操作
  • Admin:允许对本节点setAcl操作

三、访问控制列表方案(ACL Schemes)

zookeeper的ACL Schemes有以下几种:

  • world:只有一个id即anyone,为所有Client端开放权限。
  • auth:不需要任何id,只要是通过auth的用户都有权限。
  • digest:Client端使用用户和密码的方式验证,采用username:BASE64(SHA1(password))的字符串作为节点ACL的id(如:digest:lyz:apNZxQYP6HbBQ9hRAibCkmPKGss=)。
  • ip:使用客户端的IP地址作为ACL的id,可以设置为一个ip段(如:ip:192.168.0.1/8)。Client端由IP地址验证,譬如172.2.0.0/24。
  • sasl:设置为用户的uid,通过sasl Authentication用户的id,在zk3.4.4版本后sasl是通过Kerberos实现(即只有通过Kerberos认证的用户才可以访问权限的znode),使用sasl:uid:cdwra字符串作为节点ACL的id(如:sasl:lyz:cdwra)。

四、示例

acl的相关命令如下表所示:

命令使用方式描述
getAclgetAcl <path>读取ACL权限
setAclsetAcl <path> <acl>设置ACL权限
addauthaddauth <scheme> <auth>添加认证用户

通过以下命令进入zookeeper cli模式,默认连接localhost

1. world 模式

zookeeper创建的节点默认的权限就是world:anyone:cdrwa,即所有人在client端都拥有cdrwa这五个权限。如下图所示:

节点权限是world,也就是默认权限,为所有client端开放,这样肯定是不安全的,我们先基于auth模式进行权限的控制。

2. auth 模式

为/test1节点增加auth权限认证方式。设置方式如下:

addauth digest <用户>:<明文密码> #添加认证用户
setAcl <path> auth:<user>:<acl>

客户端示例:

小结:

  • 首先,需要创建用户上下文 – addauth,密码为明文密码。
  • 其次设置权限 – setAcl
  • 查看节点权限的时候,密码会自动转为密文,该密文是采用user:BASE64(SHA1(password))的字符串。
  • 查看节点数据之前,必须确保拥有认证用户的上下文,否则会报:Authentication is not valid : /test1
3. digest 模式

设置方式如下:

setAcl <path> digest:<用户>:<密文>:<acl>

digest加密模式相对于auth来说要稍微麻烦一些,需要对明文密码进行BASE64(SHA1(password))的处理。

如何对password进行加密,有两种方法:

  • 第一种方法:这里的密码是经过SHA1及BASE64处理的密文,在shell中可以通过以下命令计算:
echo -n <user>:<password> | openssl dgst -binary -sha1 | openssl base64

生成lyz:create17对应的加密密文,如下图所示:

切记:生成的是lyz:create17对应的密文,如果将lyz换为其它,密文则不一样。

  • 第二种方法:使用zookeeper提供的java类来生成密文:
export ZK_CLASSPATH=/etc/zookeeper/conf/:/usr/hdp/current/zookeeper-server/lib/*:/usr/hdp/current/zookeeper-server/*
java -cp $ZK_CLASSPATH org.apache.zookeeper.server.auth.DigestAuthenticationProvider lyz:create17

执行效果如下图所示:

客户端示例:

小结:

  • 首先,获取密码加密后的密文
  • 然后可直接setAcl设置权限,不用添加身份认证
  • 如果要访问节点数据,必须确保拥有认证用户的上下文,再访问节点数据,否则会报:Authentication is not valid : /test2

digest 与 auth 模式之间的不同:

  • auth采取明文认证的模式,在对节点设置权限之前,需要先设置认证用户的上下文。访问节点数据也是同理。
  • digest采取密文认证的模式,可以直接对节点设置权限。当访问节点数据时,也需要提前设置认证用户的上下文。
4. ip 认证模式

设置方式如下:

setAcl <path> ip:<ip>:<acl>

:可以是具体IP也可以是IP/bit格式,即IP转换为二进制,匹配前bit位,如192.168.0.0/16匹配192.168.*.*

客户端示例:

如上图所示,对/test3节点设置10.6.6.71全部权限,10.6.6.72可读权限。使用localhost访问/test3,自然是不可行的。接下来在10.6.6.71与72节点上测试一下:

在10.6.6.72节点进入zkCli模式:

执行命令:/usr/hdp/3.0.1.0-187/zookeeper/bin/zkCli.sh -server 10.6.6.72

在10.6.6.73节点进入zkCli模式,访问/test3数据,会报:Authentication is not valid : /test3

5. sasl 模式

该模式属于kerberos所特有的模式,需要依赖kerberos实现。只有通过Kerberos认证的用户才可以访问权限的znode。设置权限的方式,比如:setAcl /hiveserver2 sasl:hive:cdrwa

五、设置超级管理员

假如你忘记了你认证用户的密码,或者基于其它什么情况,导致某znode节点无法被操作,怎么办呢?其实我们可以为zookeeper设置超级管理员。

用户:密码还是以lyz:create17为例:

1.首先还是要获取lyz:create17的密文,这里就不赘述了,密文为:lyz:apNZxQYP6HbBQ9hRAibCkmPKGss=

2.编辑/usr/hdp/3.0.1.0-187/zookeeper/bin/zkServer.sh,添加一些配置。

"-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "-Dzookeeper.DigestAuthenticationProvider.superDigest=lyz:apNZxQYP6HbBQ9hRAibCkmPKGss="添加至文件的第135行,注意前后空格。具体如下图所示:

3.保存文件,重启该节点上的zookeeper服务。这样,zookeeper的超级管理员就设置成功了。

4.执行命令进入zkCli模式:/usr/hdp/3.0.1.0-187/zookeeper/bin/zkCli.sh,再执行addauth digest lyz:create17认证身份,这样就具备超级管理员角色,可以操作任意节点了。

六、总结

本篇文章主要介绍了zookeeper的acl操作,介绍了acl的权限类型,还有acl的Schemes。主要是对Schemes如何使用进行了示例说明。

zookeeper的acl不支持级联操作,即子节点不会继承父节点的权限。这样就导致了修改节点权限比较麻烦,可能这种设计模式也有它的优点吧。如果有对这一方面了解的朋友,欢迎告知,谢谢。

更多acl知识,可参考zookeeper官网:https://zookeeper.apache.org/doc/r3.4.6/zookeeperProgrammers.html#sc_ZooKeeperAccessControl

create17
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
zookeeper】问题解决 Authentication is not valid : /hbase/tokenauth
Mrerlou的博客
08-02 3881
最近在搭建Hbase服务时,服务无法启动,于是决定将hbase服务删除,在当删除zookeeper的/hbase节点时报错,报。看到网上大部分的文章都是使用跳过ACL或者开启super模式这两种方式,于是比较好奇有没有第三种解,这里整理并记录一下。SASL身份验证方案与某些其他方案的不同之处在于,如果方案是sasl,则命令无效。这是因为身份验证是在连接后立即使用启用SASL的令牌交换执行的,而不是像addauth那样在连接后的任何时间发生。相关链接httphttps。...
Zookeeper的安全性与权限控制
最新发布
禅与计算机程序设计艺术
01-25 728
1.背景介绍 1. 背景介绍 Apache Zookeeper 是一个开源的分布式协调服务,用于构建分布式应用程序的基础设施。它提供了一种可靠的、高性能的协调服务,以解决分布式应用程序中的一些常见问题,如集群管理、配置管理、同步等。 在分布式系统中,安全性和权限控制是非常重要的。Zookeeper 需要确保数据的安全性,以防止未经授权的访问和篡改。此外,Zookeeper 还需要提供一种权限...
Zookeeper 报错Authentication is not valid :/XXX
hjc2c的博客
04-27 1万+
Zookeeper 报错Authentication is not valid 涉及的命令 getAcl 获取权限 getAcl /path setAcl 设置权限 setAcl /path auth:用户名:密码明文:权限 setAcl /path world:anyone:cdrwa addauth 登录权限 addauth digest 用户名:密码明文 addauth digest user1:password1 [zk: localhost:2181(CONNECTED) 1] get
10.CDP7.1.5 zookeeper登录报错权限无效
weixin_43346403的博客
12-07 893
zookeeper报错
ZooKeeper--ACL权限控制
weixin_42073629的博客
08-07 1237
一、前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个节点设置权限 (ACL),有以下两个可选的命令: # 1.给已有节点赋予权限 setAcl path acl
zookeeper开启kerberos认证删除节点报错 Authentication is not valid : /hbase/splitWAL
旺旺的博客
10-12 1万+
1.描述 在cdh集群中zookeeper开启了kerberos认证。然后通过zookeeper-client登陆zookeeper命令行操作,删除节点的时候报错 删除命令:rmr /hbase 报错:Authentication is not valid : /hbase/splitWAl 说是 没有权限删除/hbase/splitWAL这个节点。我们运行zookeeper-cli...
zookeeper配置相应的acl权限
08-29
主要介绍了为zookeeper配置相应的acl权限的相关实例,具有一定参考价值,需要的朋友可以了解下。
java连接zookeeper,并增加acl权限.docx
07-09
java连接zookeeper,并增加acl权限,增加节点,删除节点,对业务进行操作
深入解析Zookeeper:核心特性与节点类型全景剖析
12-16
Zookeeper,作为一个关键的分布式应用协调框架,在多节点协作和数据同步方面发挥着不可或缺的作用。...此外,还涵盖了ZookeeperACL权限控制和内存数据与持久化机制,为读者提供了全面深入的技术视角。
Zookeeper.xmind
11-03
ZAB协议用途,Zookeeper角色分配,搭建Zookeeper集群,Zookeeper命令,Zookeeper的存储模型,ZKServer的监听机制,ACL权限控制,四字命令,Java访问Zookeeper,分布式协调框架,Zookeeper环境搭建
ZooKeeper 未授权访问漏洞(CVE-2014-085) 复现
热门推荐
gclome的博客
07-31 1万+
最近想收集一下近几年的通用型漏洞,然后就找到了这个漏洞,那就先来这个漏洞吧! 01 ZooKeeper未授权访问漏洞是什么 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、
[zookeeper] zookeeper系列二:zookeeper持久节点、临时节点及ACL
zkp_java的专栏
09-14 1万+
znode回顾 我们回顾zookeeper中数据节点(znode)相关定义,然后进行实验验证。 znode相关定义如下: znode是zookeeper树形结构中的数据节点,用于存储数据; zookeeper中有两种类型的节点: 持久节点(PERSISENT):一旦创建,除非主动调用删除操作,否则一直存储在zk上; 临时节点(EPHEMERAL):与客户端会话绑定,一旦客户端会话失效,这...
Zookeeper Authentication is not valid权限
10-11 3512
问题: springboot项目中使用dubbo,配置文件中使用了用户名密码 通过./zkCli.sh -server host:port连接zk后访问无权限。 解决方法: 先添加一个用户 addauth digest 账户名:密码 账号密码和项目中配置的一样 然后进行查看 ...
zookeeper常用命令以及权限控制
weixin_45163291的博客
07-20 809
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。增加zookeeper权限账户,为ZooKeeper配置相应的访问权限。在通常情况下,zookeeper允许未经授权的访问。将ACL权限信息加密。
Zookeeper使用
qq_47387991的博客
03-15 3322
ZooKeeper是一个集中的服务,用于维护配置信息、命名、提供分布式同步和提供组服务。所有这些类型的服务都以某种形式被分布式应用程序使用。每次它们被实现时,都会有大量的工作来修复不可避免的错误和竞争条件。由于实现这些服务的困难,应用程序最初通常会略过这些服务,这使得它们在出现更改时变得脆弱,并且难以管理。即使正确地执行了这些服务,在部署应用程序时,这些服务的不同实现也会导致管理复杂性。
zookeeper服务验证失败zkServer.sh status报错
ucidity的博客
10-23 1051
启动成功 [root@c1 ~]# zkServer.sh start ZooKeeper JMX enabled by default Using config: /opt/zookeeper/bin/../conf/zoo.cfg Starting zookeeper ... STARTED 服务验证报错 [root@c1 ~]# zkServer.sh status ZooKeeper JMX enabled by default Using config: /opt/zookeeper/b
zookeeperr-修复Acl权限控制
zhao2508的博客
12-25 980
进入到安装目录:/wt/zookeeper/zookeeper1 建立和zookeeper服务端的连接 sh bin/zkCli.sh 或者 ./zkCli.sh 1 --查询子节点列表 ls / 增强版的ls /test ls2 / 2--通过getAcl命令可以发现,刚创建的节点,默认是 world,anyone的认证方式,具有cdrwa所有权限 getAcl nod...
zookeeper未鉴权访问漏洞处理
weixin_44704406的博客
12-27 5775
zookeeper未鉴权访问漏洞处理
zookeeper ACL
08-17
ZookeeperACL是Access Control List的缩写,用于对节点的权限进行控制。类似于Unix文件系统,Zookeeper的节点可以看作是文件,客户端可以删除、创建和修改节点。ACL可以用来管理节点的访问权限。 取消ACL相关权限后,使用getAcl和setAcl命令将没有权限。这意味着没有ACL权限的客户端无法获取或设置节点的ACL信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Zookeeper权限控制ACL详解](https://blog.csdn.net/qq_40837310/article/details/106826963)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ZooKeeper ACL权限控制](https://blog.csdn.net/weixin_54051652/article/details/123332095)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

create17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值