Zookeeper的ACL权限控制

最新推荐文章于 2023-07-16 16:41:33 发布
最新推荐文章于 2023-07-16 16:41:33 发布
阅读量365 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugzeroman/article/details/86621598
版权

1.Zookeeper的节点有5种操作权限

CREATE、READ、WRITE、DELETE、ADMIN
也就是 增、查、改、删、管理权限,
这5种权限简写为crwda(即:每个单词的首字符缩写)
注意这5种权限中,
delete是指对子节点的删除权限,
其它4种权限指对自身节点的操作权限。

2.身份的认证有4种方式

world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用IP地址认证

3.设置访问控制

3.1.方法一(推荐)

3.1.1.增加一个认证用户

addauth digest 用户名:密码明文
eg. addauth digest user1:password1

3.1.2.设置权限

setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa

3.1.3.查看Acl设置

getAcl /path

3.2.方法二

setAcl /path digest:用户名:密码密文:权限
注:这里的加密规则是SHA1加密,然后base64编码。

4.使用auth进行身份认证的场景

在zookeeper上面,使用yuwen:zdh1234用户,
创建/test目录,进行增删改查。

4.1.创建目录

使用zkCli.sh客户端登陆,创建目录:
create /test

4.2.查看目录权限

getAcl /test

'world,'anyone
: cdrwa

可以看到任何人对/test目录都有增、删、改、查、管理权限。

4.3.增加一个认证用户

增加的用户名和密码可以自定义:
addauth digest yuwen:zdh1234

4.4.使用上面的认证用户设置目录的权限

setAcl /test auth:yuwen:zdh1234:cdrwa

4.5.查看目录权限

getAcl /test

'digest,'yuwen:zCY6ODYZ1NC2Ci6hz4bXA3AESFE=
: cdrwa

可以看到yuwen对/test目录有增、删、改、查、管理权限,
而不是原来的anyone任何人了。
ls /test
可以看到命令执行成功。

4.6.重新登陆查看目录

新开一个zkCli.sh客户端重新登陆,
查看/test目录:
ls /test

KeeperErrorCode = NoAuth for /test

可以看到没有对/test目录的查看权限。

4.7.使用认证用户查看

增加一个认证用户:
addauth digest yuwen:zdh1234
查看/test目录:
ls /test
可以看到命令执行成功。

4.8.一点说明

上面第4.3步中如果不增加一个认证用户,
则在设置权限的时候,直接使用如下命令:
setAcl /path digest:用户名:密码密文:权限
setAcl /test digest:yuwen:zCY6ODYZ1NC2Ci6hz4bXA3AESFE=:cdrwa
但是ls /test的时候任然会没有执行权限。

5.使用sasl进行身份认证的场景

在zookeeper上面,使用yuwen用户,
创建/testB目录,进行增删改查。

使用zkCli.sh客户端登陆,
创建/testB目录,同时设置sasl的ACL,
赋予yuwen对/testB目录增、删、改、查、管理权限:
create /testB sasl:yuwen:zdh1234:cdrwa
create -s /testB data sasl:yuwen:zdh1234:cdrwa

6.使用IP地址进行身份认证的场景

create /testC ip:10.43.159.12:cdrwa

木木与呆呆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zk学习之ACL权限管理
LC_HYQ的博客
09-14 320
acl相关命令: acl命令的构成: schema构成: word表示任何用户都可以登陆 auth表示需要特定的账号密码才可以登陆 digest表示需要对密码加密才能登陆 ip表示只有特定的ip才可以访问 super表示超级管理员 : permissions构成:  ...
说说Zookeeper中的ACL
热门推荐
就是你的博客
08-07 1万+
Access Control在分布式系统中重要性是毋庸置疑的,今天这篇文章来介绍一下Zookeeper中的Access Control(ACL)。 1. 概述 传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,子目录/文件默认继承父目录的ACL。而在Zookeeper中,node的ACL是没有继承关系的,是独立控制的。ZookeeperACL,可以从三个维度来理解:一是sch
Zookeeper分布式入门——ZK命令行【ACL权限控制(二)】
风雨的博客
08-18 303
常用命令行 acl命令2 auth:user:pwd:cdrwa digext:user:BASE64(SHA1(pwd)):cdrwa addauth digest user:pwd 实践 1.创建、登录用户 addauth digest wqy:wqy 2.设置权限 setAcl /a/b auth wqy:wqy:cdrwa 3.查看权限 getAcl /a/b 输出下面这样的一句话 : ‘...
Zookeeper节点ACL权限设置
Jay的博客
08-14 1008
概述 ACL全称为Access Control List(访问控制列表),用于控制资源的访问权限ZooKeeper使用ACL控制对其znode(ZooKeeper数据树的数据节点)的访问。ACL实现与UNIX文件访问权限非常相似:它使用权限位来允许/禁止针对节点的各种操作以及位应用的范围。与标准UNIX权限不同,ZooKeeper节点不受用户(文件所有者),组和world(其他)的三个标准范围的限制。 zk利用ACL策略控制节点的访问权限,如节点数据读写、节点创建、节点删除、读取子节点列表、设置节点权限
Zookeeper-ACL权限控制
08-09
Zookeeper-ACL权限控制
zookeeper配置相应的acl权限
08-29
Zookeeper 权限控制 Zookeeper 使用 ACL(Access Control List)来控制访问 Znode,ACL 的实现和 UNIX 的实现非常相似:它采用权限位来控制哪些操作被允许,哪些操作被禁止。但是和标准的 UNIX 权限不同的是,...
java连接zookeeper,并增加acl权限.docx
07-09
增加 ACL 权限是指添加 ZooKeeper 服务器的访问控制权限,用于控制ZooKeeper 服务器的访问。增加 ACL 权限需要使用 ZooKeeper 的 AddAuth 命令,指定要添加的权限和访问者的信息。 ZooKeeper 没有鉴权访问 ...
Zookeeper权限控制代码
09-13
Zookeeper权限控制是Apache ZooKeeper系统中的一个重要特性,它允许管理员和用户对Zookeeper的数据节点进行细粒度的访问控制,以确保数据的安全性。在Java开发中,理解和使用Zookeeper权限控制对于构建分布式系统...
zookeeper未授权访问修复建议
07-14
ACL 是一种访问控制机制,通过设置不同的权限控制用户对 ZooKeeper 节点的访问。 ZooKeeper 中的 ACL 由三部分组成:权限、用户和节点。 1. 权限:包括 CREATE、DELETE、READ、WRITE、ADMIN 五种基本权限。 2. ...
Zookeeper(Kafka内置)单独添加SASL认证及ACL
Sayai的专栏
07-16 1243
通常,我们会给Kafka增加SASL以加强对kafka的安全访问,以满足漏扫对于kafka的访问安全漏扫要求。但漏扫的时候也会同样会对Kafka集群中的zk集群进行扫描。所以zk集群同样涉及到要配置kafka的安全认证。
Zookeeper权限管理
CheerTan is here
06-10 556
查看这篇文章吧:https://www.jianshu.com/p/147ca2533aff
【自撰】zooKeeper常用命令和权限
weixin_48235405的博客
12-23 1302
zookeeper常用命令和权限 常用命令: get -s /path 和 stat /path 查看指定路径的节点信息 属性 解译 cZxid 数据节点创建时的事务ID ctime 据节点创建时的时间 mZxid 数据节点最后一次更新时的事务 ID mtime 数据节点最后一次更新时的时间 pZxid 数据节点的子节点最后一次被修改时的事务 ID cversion 子节点的更改次数 dataVersion 节点数据的更改次数 aclVersion 节点
4.zookeeper权限控制
guachiqi2340的博客
05-15 562
概述 zookeeper类似文件系统,client 可以创建节点、更新节点、删除节点。zookeeper的access control list 访问控制列表可以对节点权限控制acl权限列表特点如下: zooKeeper权限控制是基于每个znode节点的,需要对每个节点设置权限 每个znode支持设置多种权限控制方案和多个权限 子节点不会继承父节点的权限,客户端无权访问某节点,但可能可以访问它的子节点 acl权限控制,使用scheme:id:permission来标识,主要涵盖 3 个方面: 权
Zookeeper设置访问权限
u013026077的博客
07-02 1万+
[b][size=medium]zookeeper的身份认证有4种方式[/size][/b] (1)world: 它下面只有一个id, 叫anyone, world:anyone代表任何人,zookeeper中对所有人有权限的结点就是属于world:anyone的 (2)auth: 它不需要id, 只要是通过authentication的user都有权限zookeeper支持通过ker...
solr8.3集群配置
小毛贼_哪里逃
11-29 1988
1把solr8.3安装到tomcat8.5中,此处省略,如有需要请参考https://blog.csdn.net/qq_28497823/article/details/103297774 2修改每台机器的solrhome下的solr.xml,把其中的ip及端口号配置好 3查看Tomcat下solr的web.xml文件中的solrhome是否是正确的 4把solrhome/c...
Zookeeper未授权访问漏洞
黑伴白的博客
01-30 3376
Zookeeper未授权访问漏洞 默认安装配置完的zookeeper允许未授权访问,管理员未配置访问控制列表(ACL)。导致攻击者可以在默认开放的2181端口下通过执行envi命令获得大量敏感信息(系统名称、java环境)导致任意用户可以在网络不受限的情况下进行未授权访问读取数据甚至杀死服务。 原因:默认的ACL中未进行限制访问 连接zookeeper ./zkCli.sh -server 199.188.166.110:2181 查看当前权限 默认所有人可访问 getAcl / 添加可访问IP s
Zookeeper基本使用
風雨无阻
07-13 5790
Zookeeper基本使用1、Zookeeper系统模型2、Zookeeper命令行操作3、Zookeeper原生api使用4、Zookeeper开源客户端 1、Zookeeper系统模型 ZooKeeper数据模型Znode 在ZooKeeper中,数据信息被保存在⼀个个数据节点上,这些节点被称为znode。 ZNode 是Zookeeper 中最⼩数据单位,在 ZNode 下⾯⼜可以再挂 ZNode,这样⼀层层下去就形成了⼀个层次化命名空间 ZNode 树,我们称为 ZNode Tree,它采⽤了类似⽂
zookeeper-04-基本命令
hylexus的博客
11-26 4140
使用zkClish连接到zookeeper 基本命令的使用 1 查询操作 2 创建节点 3 修改操作 4 删除操作 5 quota 6 ACL 其他命令 在zookeeper安装目录的bin目录下有名为 zkCli.sh 的文件,该文件可以作为客户端连接到zookeeper。1 使用zkCli.sh连接到zookeeper# 一般语法 ./zkCli.sh -timeout 0 -r -server
zookeeper ACL
最新发布
08-17
- *3* [ZooKeeper ACL权限控制](https://blog.csdn.net/weixin_54051652/article/details/123332095)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值