zookeeper Acl(容器)设置

最新推荐文章于 2024-07-23 16:30:52 发布
最新推荐文章于 2024-07-23 16:30:52 发布
阅读量538 收藏 6
点赞数 5
文章标签: zookeeper 分布式 云原生 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59388826/article/details/135342732
版权
本文讲述了公务公司系统中发现的ZooKeeper未授权访问漏洞,介绍了如何在Acl配置中添加用户认证并设置访问权限。针对单主机多节点和三主机多节点模式下的Kafka与ZooKeeper连接问题,提供了白名单配置的解决方案。
摘要由CSDN通过智能技术生成
一、简介

公务公司系统上线扫描出来的漏洞

zk未授权访问漏洞(中危)

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许未经授权的访问。

二、配置Acl
docker exec -it <容器id> /bin/bash
cd /opt/bitnami/zookeeper/bin      #zookeeper3.7.0版本链接工具所在目录
./zkCli -server 127.0.0.1:2181     #连接zookeeper
addauth digest zookeeper:zk1234    #增加一个用户认证
setAcl / auth:zookeeper:cdrwa      #为/目录设置Acl
三、kafka连接zookeeper

Acl设置完成后重启,kafka连接不上zookeeper,报错

 

1.三主机三节点

三主机三节点模式,三个zookeeper三个kafka,在任意一台zookeeper上配置Acl即可

解决方法,在zookeeper容器内配置访问白名单

setAcl / ip:* * * *:cdrwa,ip:* * * *:cdrwa,ip:* * * *:cdrwa,auth:zookeeper:zk1234
2.单主机三节点

单主机三节点模式,一个zookeeper三个kafka

解决方法,配置白名单

不同点:因为单主机三节点肯定用到了端口映射的模式,所以三台容器与主机不是公用同一个IP,所以要在白名单中填写容器的IP

docker inspect <容器ID> | grep IPAddress   #查询容器ID

如果kafka已经起不来了,查不到容器ID,可以链接zookeeper删除Acl设置

setAcl /world:anyone:cdrwa

 重启kafka后,查看容器IP加入白名单即可

有点菜的运维
关注
zookeeperzookeeperACL权限控制
九师兄
05-10 2511
1.概述 ACL:Access Control List 访问控制列表 关联文章:【zookeeperZooKeeper 权限管理与Curator增加权限验证 关联文章:【kafka】kerberos client is being asked for a password not available to garner authentication informa 1.1 简介 ACL 权限控制,使用:scheme:id:perm 来标识,主要涵盖 3 个方面:   权限模式(Scheme):授权的
ZookeeperACL权限控制
AI天才研究院
06-30 420
作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 问题的由来 随着云计算和分布式系统的普及,Zookeeper成为了许多大规模应用程序的关键组件之一。它被广泛用于协调大量客户端和服务端节点之间的一致性和数据共享。然而,面对庞大的用户群和复杂的访问需求时,如何有效地管理资源访问权限成为了一
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper配置相应的acl权限
08-29
主要介绍了为zookeeper配置相应的acl权限的相关实例,具有一定参考价值,需要的朋友可以了解下。
分布式服务管理框架-Zookeeper节点ACL
技术改变生活
11-14 6386
ACL全称为Access Control,用于控制资源的访问权限。zk利用ACL策略控制节点的访问权限,如数据读写、创建/删除/读取子节点、设置节点权限等。 在传统的文件系统中,ACL分为两个维度,一个是属组,一个是权限,一个属组包含多个权限,一个文件或目录拥有某个组的权限即拥有了组里的所有权限,文件或子目录默认会继承自父目录的ACL。而在Zookeeper中,znode的ACL是没有继承关系的
zookeeperacl权限控制_ZooKeeper ACL权限设置
weixin_28783097的博客
12-30 1124
ZK的节点有5种操作权限:CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限身份的认证有4种方式:world:默认方式,相当于全世界都能访问auth:代表已经认证通过的用户(cli中可以通过addauth dig...
zookeeper--ACL详解
qq_41768644的博客
03-28 2584
zookeeper ACL权限详解 addauth 详解
zookeeper Acl设置权限
weixin_34150503的博客
03-30 183
默认zookeeper无权限认证功能, 修改些代码实现认证zookeeper包括四个内置的scheme,包括world,auth,digest,ip,默认为world,权限相当于任何人可操作。我们现在要做的是加入一种认证方式,使用digest这种username:password方式比较适合我们。 但是zookeeper带的zkCli.sh在设置Acl时,如果scheme为d...
Zookeeper-Zookeeper特性与节点数据类型详解
weixin_43874650的博客
12-28 2565
和持久节点的区别是 ZK 服务端启动后,会有一个单独的线程去扫描,所有的容器节点,当发现容器节点的子节点数量为0时,会自动删除该节点。pZxid:表示该节点的子节点列表最后一次修改的事务1D,添加子节点或删除子节点就会影响子节点列表,但是修改子节点的数据内容则不影响该ID注意: 只有子节点列表变更了才会变更pzxid,子节点内容变更不会影响pzxid)。数据发布订阅的一个常见的场景是配置中心,发布者把数据发布到 ZooKeeper 的一个或一系列的节点上,供订阅者进行数据订阅,达到动态获取数据的目的。
Zookeeper后端开发工具Curator的使用 | Curator对节点的增删改查 | ACL权限控制 | 分布式锁 | 分布式计数器 | 附带最新版本下载
热门推荐
血煞长虹 的专栏
12-21 1万+
本文系统全面的介绍zookeeper客户端工具Curator的最常用的用法,主要包含:​ 1.使用curator建立与zk的连接 2.使用curator(递归)增/删除节点 3.使用curator ACL权限控制 4.使用curator 监听节点的变化(利用了​Curator高级API特性) 5.基于curator实现Zookeeper分布式锁(需要掌握基本的多线程知识) 6.基于curator实现分布式计数器 另外Curator还有一些高端的用法:分布式屏障—Barrier、Double-barrier,
Zookeeper 权威指南
AI天才研究院
08-08 1455
1997年,Apache发布了ZooKeeper项目,基于Google的Chubby论文,解决分布式协调服务问题。ZooKeeper是一种开源的分布式协调服务,它是一个高效且可靠的分布式数据管理框架。其目标就是构建一个简单而健壮的分布式数据管理系统。ZooKeeper通过一组简单的原语(primitives)提供全面的分布式同步功能。这些原语可以用于实现诸如配置中心、集群管理、Locks等功能。其中“配置中心”提供了动态的配置信息共享和更新,集群管理则用于监控和管理集群中各个节点的运行状态;
1、zookeeper环境搭建
weixin_45576667的博客
05-18 586
zookeeper 3.8.1 安装及入门使用
Zookeeper(2)常用命令,ACL权限
一个后端菜鸟的博客
03-18 1918
Zookeeper 常用命令和ACL权限等
ZooKeeper部署全攻略——ACL控制
bbsxb520的博客
07-03 322
简单的ACL控制配置
zookeeperzookeeperACL权限学习
最新发布
Mrerlou的博客
07-23 346
ZooKeeper使用ACL来控制对其znodeZooKeeper数据树的数据节点)的访问。ACL实现与UNIX文件访问权限非常相似:它使用权限位来允许/禁止针对节点及其所应用范围的各种操作。与标准UNIX权限不同,ZooKeeper节点不受用户(文件所有者)、组和环境(其他)的三个标准范围的限制。ZooKeeper没有znode所有者的概念。而是,ACL指定一组ID和与这些ID关联的权限。还请注意,ACL仅与特定的znode有关。特别是它不适用于子节点。例如,如果/app仅可被读取,并且。
kafka_2.12-2.3.1 自带zookeeper开启ACL
weixin_45045261的博客
02-10 1471
kafka内置zookeeper 开始ACL , 未授权访问漏洞修复
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 7268
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL
Zookeeper ACL权限控制
qianshanding0708的博客
12-01 6170
Zookeeper使用ACL来控制访问Znode,ACL的实现和UNIX的实现非常相似:它采用权限位来控制那些操作被允许,那些操作被禁止。但是和标准的UNIX权限不同的是,Znode没有限制用户(user,即文件的所有者),组(group)和其他(world)。Zookeepr是没有所有者的概念的。 每个ZNode的ACL是独立的,且子节点不会继承父节点的ACL。例如:Znode /app对于i...
zookeeperkafka集群部署代码
孔小发
09-11 263
# kafka.yaml apiVersion: v1 kind: Service metadata: name: kafka-svc namespace: ops labels: app: kafka-svc spec: ports: - port: 9092 name: server clusterIP: None selector: app...
zookeeperACL
03-22
ZooKeeper提供了一套访问控制列表(ACL)机制,用于对ZooKeeper中的节点进行权限控制。 ACL是一组权限规则,用于限制对节点的访问。每个节点都可以设置自己的ACL,以确定谁可以对其进行读取、写入和管理操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值