Etcd访问控制

最新推荐文章于 2024-08-16 09:12:34 发布
最新推荐文章于 2024-08-16 09:12:34 发布
阅读量1.1w 收藏 1
点赞数
分类专栏: Etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huwh_/article/details/74502846
版权

1. ETCD资源类型

There are three types of resources in etcd

permission resources: users and roles in the user store
key-value resources: key-value pairs in the key-value store
settings resources: security settings, auth settings, and dynamic etcd cluster settings (election/heartbeat)

2. 权限资源

Users:user用来设置身份认证(user:passwd),一个用户可以拥有多个角色,每个角色被分配一定的权限(只读、只写、可读写),用户分为root用户和非root用户。

Roles:角色用来关联权限,角色主要三类:root角色。默认创建root用户时即创建了root角色,该角色拥有所有权限;guest角色,默认自动创建,主要用于非认证使用。普通角色,由root用户创建角色,并分配指定权限。

注意:如果没有指定任何验证方式,即没显示指定以什么用户进行访问,那么默认会设定为 guest 角色。默认情况下 guest 也是具有全局访问权限的。如果不希望未授权就获取或修改etcd的数据,则可收回guest角色的权限或删除该角色,etcdctl role revoke 。

Permissions:权限分为只读、只写、可读写三种权限,权限即对指定目录或key的读写权限。

3. ETCD访问控制

3.1. 访问控制相关命令

NAME:
    etcdctl - A simple command line client  for  etcd.
USAGE:
    etcdctl [global options] command [command options] [arguments...]
VERSION:
    2.2 . 0
COMMANDS:
    user         user add, grant and revoke subcommands
    role         role add, grant and revoke subcommands
    auth         overall auth controls  
GLOBAL OPTIONS:
    --peers, -C          a comma-delimited list of machine addresses in the cluster ( default "<a href="http://127.0.0.1:4001%2Chttp//127.0.0.1:2379" "="" style="color: rgb(53, 114, 176); text-decoration: none; border-radius: 0px !important; border: 0px !important; bottom: auto !important; float: none !important; height: auto !important; left: auto !important; margin: 0px !important; outline: 0px !important; overflow: visible !important; padding: 0px !important; position: static !important; right: auto !important; top: auto !important; vertical-align: baseline !important; width: auto !important; box-sizing: content-box !important; min-height: auto !important; background: none !important;">http://127.0.0.1:4001,http://127.0.0.1:2379" )
    --endpoint           a comma-delimited list of machine addresses in the cluster ( default "<a href="http://127.0.0.1:4001%2Chttp//127.0.0.1:2379" "="" style="color: rgb(53, 114, 176); text-decoration: none; border-radius: 0px !important; border: 0px !important; bottom: auto !important; float: none !important; height: auto !important; left: auto !important; margin: 0px !important; outline: 0px !important; overflow: visible !important; padding: 0px !important; position: static !important; right: auto !important; top: auto !important; vertical-align: baseline !important; width: auto !important; box-sizing: content-box !important; min-height: auto !important; background: none !important;">http://127.0.0.1:4001,http://127.0.0.1:2379" )
    --cert-file          identify HTTPS client using  this  SSL certificate file
    --key-file           identify HTTPS client using  this  SSL key file
    --ca-file            verify certificates of HTTPS-enabled servers using  this  CA bundle
    --username, -u       provide username[:password] and prompt  if  password is not supplied.
    --timeout  '1s'        connection timeout per request

3.2. user相关命令

[root @localhost  etcd]# etcdctl user --help
NAME:
    etcdctl user - user add, grant and revoke subcommands
USAGE:
    etcdctl user command [command options] [arguments...]
COMMANDS:
    add      add a  new  user  for  the etcd cluster
    get      get details  for  a user
    list     list all current users
    remove   remove a user  for  the etcd cluster
    grant    grant roles to an etcd user
    revoke   revoke roles  for  an etcd user
    passwd   change password  for  a user
    help, h  Shows a list of commands or help  for  one command
    
OPTIONS:
    --help, -h   show help

3.2.1. 添加root用户并设置密码

etcdctl --endpoints http://172.16.22.36:2379 user add root

3.2.2. 添加非root用户并设置密码

etcdctl --endpoints http://172.16.22.36:2379 --username root:123 user add huwh

3.2.3. 查看当前所有用户

etcdctl --endpoints http://172.16.22.36:2379 --username root:123 user list

3.2.4. 将用户添加到对应角色

etcdctl --endpoints http://172.16.22.36:2379 --username root:123 user grant --roles test1 phpor

3.2.5. 查看用户拥有哪些角色

etcdctl --endpoints http://172.16.22.36:2379 --username root:123 user get phpor

3.3. role相关命令

[root @localhost  etcd]# etcdctl role --help
NAME:
    etcdctl role - role add, grant and revoke subcommands
USAGE:
    etcdctl role command [command options] [arguments...]
COMMANDS:
    add      add a  new  role  for  the etcd cluster
    get      get details  for  a role
    list     list all roles
    remove   remove a role from the etcd cluster
    grant    grant path matches to an etcd role
    revoke   revoke path matches  for  an etcd role
    help, h  Shows a list of commands or help  for  one command
    
OPTIONS:
    --help, -h   show help

3.3.1. 添加角色

etcdctl --endpoints http://172.16.22.36:2379 --username root:2379 role add test1

3.3.2. 查看所有角色

etcdctl --endpoints http://172.16.22.36:2379 --username root:123 role list

3.3.3. 给角色分配权限

[root @localhost  etcd]# etcdctl role grant --help
NAME:
    grant - grant path matches to an etcd role
USAGE:
    command grant [command options] [arguments...]
OPTIONS:
    --path   Path granted  for  the role to access
    --read   Grant read-only access
    --write  Grant write-only access
    --readwrite  Grant read-write access

1、只包含目录
etcdctl --endpoints http://172.16.22.36:2379 --username root:123 role grant --readwrite --path /test1 test1

2、包括目录和子目录或文件 
etcdctl --endpoints http://172.16.22.36:2379 --username root:123 role grant --readwrite --path /test1/* test1

3.3.4. 查看角色所拥有的权限

etcdctl --endpoints http://172.16.22.36:2379 --username root:2379 role get test1

3.4. auth相关操作

[root @localhost  etcd]# etcdctl auth --help
NAME:
    etcdctl auth - overall auth controls
USAGE:
    etcdctl auth command [command options] [arguments...]
COMMANDS:
    enable   enable auth access controls
    disable  disable auth access controls
    help, h  Shows a list of commands or help  for  one command
    
OPTIONS:
    --help, -h   show help

3.4.1. 开启认证

etcdctl --endpoints http://172.16.22.36:2379 auth enable

4. 访问控制设置步骤

顺序
步骤
命令
1 添加root用户

etcdctl --endpoints http://<ip>:<port> user add root

2 开启认证 etcdctl --endpoints http://<ip>:<port> auth enable
3 添加非root用户 etcdctl --endpoints http://<ip>:<port> –username root:<passwd> user add <user>
4 添加角色 etcdctl --endpoints http://<ip>:<port> –username root:<passwd> role add <role>
5

给角色授权(只读、只写、可读写)

 etcdctl --endpoints http://<ip>:<port> –username root:<passwd> role grant --readwrite --path <path> <role>
6 给用户分配角色(即分配了角色对应的权限) etcdctl --endpoints http://<ip>:<port> –username root:<passwd> user grant --roles <role> <user>

5. 访问认证的API调用

更多参考https://coreos.com/etcd/docs/latest/v2/auth_api.html

胡伟煌
关注
专栏目录
etcd-v3.5.9
07-04
同时,它还提供了身份验证和授权功能,通过证书和角色权限控制(RBAC)来限制不同用户对etcd的访问权限。 ### 7. 自动备份与恢复 etcd支持定期备份到本地或远程存储,如S3兼容的云存储。当发生数据丢失或故障时,...
etcd入门系列三:身份验证访问控制
一二三四吾
11-24 9116
etcd入门系列 一. etcd在docker中的安装与使用 二. etcd 开启 https 1. 简介 etcd 默认是没有开启访问控制的,如果我们开启外网访问的话就需要考虑访问控制的问题,etcd 提供了两种访问控制的方式: 基于身份验证的访问控制 基于证书的访问控制 这节主要是选择第一种方式,进行的讲解,由于之前文章中是采用http接口的方式通讯,为了更全面的了解 etcd 的使用,本...
etcd未授权到控制k8s集群
Love&Share
01-25 3489
在安装完 K8s 后,默认会安装 etcd 组件,etcd 是一个高可用的 key-value 数据库,它为 k8s 集群提供底层数据存储,保存了整个集群的状态。大多数情形下,数据库中的内容没有加密,因此如果黑客拿下 etcd,就意味着能控制整个 K8s 集群。如果目标在启动 etcd 的时候没有开启证书认证选项,且 2379 端口直接对外开放的话,则存在 etcd 未授权访问漏洞。
LinuX下ETCD安装、配置、命令
最新发布
hai40587的博客
08-16 1366
ETCD是一个高可用的键值存储系统,由CoreOS开发,采用Raft算法来保证数据的强一致性。它广泛应用于服务发现、配置共享、分布式锁以及任何需要一致性和高可用性的场景中。ETCD以其简单、可靠和强大的特性成为分布式系统的核心组件之一。
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8809
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
etcd API 未授权访问漏洞
weixin_50015615的博客
05-25 1645
etcd提供了 API 访问的方式,但由于未配置认证,导致etcd API 存在未授权访问漏洞。在切换pd leader可能短暂出现tikv找不到pd节点,导致事务被 block,会对业务造成一定风险,影响时间在一个小时内,建议确认停止业务后进行操作。Tidb集群配置tls安全访问,需要先把pd节点由3节点缩容到1节点,这种方法对pd集群有一定风险,不太建议此方法。3)先开启非pd leader两个节点的防火墙,再把pd leader进行切换。安全检查发现etcd API 未授权访问漏洞,进行修复。
k8s的核心组件etcd的安装使用、快照说明及etcd命令详解【含单节点,多节点和新节点加入说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
08-16 760
文章目录说明基本查看相关命令版本查看查看etcd暴露出来的prometheus指标;节点健康状态查看现有节点成员查看添加一个节点成员删除一个节点成员备份etcd的整个数据目录快照备份通过快照恢复etcd集群【每个节点都要执行】etcd单节点命令的使用【增删改查】etcd单节点的安装配置安装etcd包配置文件编辑服务加入开机启动获取帮助版本2查看所有命令如:创建、查看、删除其他节点访问该etcd版本3查看所有命令如:创建、查看、删除其他节点访问该etcd取消版本定义【恢复默认】多节点配置配置主节点【主节点le
etcd manager
05-24
5. **权限控制**: 支持设置访问控制列表(ACL),对不同的用户或角色赋予不同的操作权限,提升系统的安全性。 6. **日志与监控**: 显示 etcd 的运行日志,提供性能指标监控,帮助用户及时发现和解决问题。 7. **跨...
Etcd C++ client 源码
04-20
- **并发控制**:支持多线程、多任务并行访问,保证线程安全。 - **性能优化**:例如批量操作、流式响应等,以提高客户端的效率。 总结,`Etcd C++ client` 是一个用于与 `etcd` 服务通信的客户端库,通过 `gRPC` ...
etcd实战及其原理分析.pdf
02-12
MVCC是一种并发控制机制,由treeIndex原理、MVCC更新key原理、MVCC查询key原理和MVCC删除key原理共同构成,确保在多客户端并发访问时的数据一致性。 总结来说,etcd是一个强大且灵活的工具,适用于构建分布式系统。...
etcd数据库windows可视化工具
09-18
7. **安全设置**:可能包含SSL/TLS加密支持,确保数据传输的安全性,同时可能提供角色基础的访问控制(RBAC)配置。 8. **报警与通知**:当集群出现异常时,如节点故障、资源耗尽等,工具可能可以发送报警通知,...
ETCD 未授权访问实战案例
网络安全。
01-15 1958
3、通常情况下 etcd 所在 ip 即为 6443 管理端口所在 ip,探测后发现 6443 端口开放,接下来可通过 kubectl 操作 k8s。最终发现/registry/secrets/kube-system/tiller-token-vnnjg 为高权限 token。2、尝试在etcd里查询管理员的token,然后使用该token配合kubectl指令接管集群。pod 数量 131 个,实际容器数量大于等于 131 台。列出kube-system 下所有 pods。1、发现 etcd 未授权。
etcd基础命令
会哭的雨@的博客
05-14 1297
etcdctl命令 官方网站 https://github.com/etcd-io/etcd/tree/master/etcdctl etcdctl -h / # etcdctl --help NAME: etcdctl - A simple command line client for etcd3. USAGE: etcdctl VERSION: 3.2.24 API VERSION: 3.2 COMMANDS: get Gets the key or a rang
php etcd,etcd访问控制
weixin_29356575的博客
03-11 638
auth enable 之前必须添加root用户,添加时设置密码:etcdctl --endpoints http://172.16.22.36:2379 user add root1etcdctl--endpointshttp://172.16.22.36:2379 user add root开启认证:etcdctl --endpoints http://172.16.22.36:2379 au...
【云原生etcdetcd的快速入门
qq_58804301的博客
04-03 1853
在云计算时代,如何让服务快速透明地接入到计算集群中,如何让共享配置信息快速被集群中的所有机器发现,更为重要的是,如何构建这样一套高可用、安全、易于部署以及响 应快速的服务集群,已经成为了迫切需要解决的问题。
ETCD系列之三:网络层实现
技术心得总结
08-06 470
ETCD系列之三:网络层实现 1. 概述 在理清ETCD的各个模块的实现细节后,方便线上运维,理解各种参数组合的意义。本文先从网络层入手,后续文章会依次介绍各个模块的实现。 本文将着重介绍ETCD服务的网络层实现细节。在目前的实现中,ETCD通过HTTP协议对外提供服务,同样通过HTTP协议实现集群节点间数据交互。 网络层的主要功能是实现了服务器与客户端(能发出HTTP请求的各种程序)消息交互,以及集群内部各节点之间的消息交互。 2. ETCD-SERVER整体架构 ETCD-SERVER 大体
ETCD http接口Api请求示例
whatzhang007的博客
09-08 2241
1. etcd 的http接口使用(postman) 环境变量 ETCD_HOST :http://127.0.0.1:2379 github地址: https://github.com/whatzhang/etcd_api 2. etcd swagger(v3版本) https://github.com/etcd-io/etcd/blob/main/Documentation/dev-guide/apispec/swagger 3. etcdctl 操作指令 https://github.com/etc
差之毫厘:etcd 3 完美支持 HTTP 访问
weixin_45583158的博客
06-30 1829
etcd 升级到 3.x 版本后,其对外 API 的协议从普通的 HTTP1 切换到了 gRPC。为了兼顾那些不能使用 gRPC 的特殊群体,etcd 通过 gRPC-gateway 的方...
ETCDetcd 网关与 gRPC-Gateway
weixin_42017400的博客
02-22 2531
etcd 网关 什么是etcd 网关 etcd 网关是一个简单的TCP 代理,可将网络数据转发到 etcd 集群。网关是无状态且透明的,它既不会检查客户端请求,也不会干扰集群响应,支持多个 etcd 服务器实例,并采用简单的循环策略。etcd 网关将请求路由到可用端点,并向客户端隐藏故障,使得客户端感知不到服务端的故障。后期可能会支持其他访问策略,例如加权轮询。 我们使用客户端连接到 etcd 服务器时,每个访问 etcd 的应用程序必须知道所要访问的 etcd 集群实例的地址,即用来提供客户端服..
 etcd 未授权访问漏洞
12-22
1. 实施严格的访问控制:确保只有授权用户能够访问ETCD集群,并实施适当的身份验证和授权策略。 2. 使用加密通信:使用加密通信协议(如TLS)来保护ETCD与外部系统的通信。这将确保数据在传输过程中的安全性。 3. ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值