zookeeper 单机模式(Standalone Mode)部署及未授权漏洞修复

已于 2024-05-26 13:22:24 修改
阅读量378 收藏 9
点赞数 3
文章标签: zookeeper debian 分布式 linux 运维
于 2024-05-26 13:17:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010038739/article/details/139212289
版权

zookeeper 单机模式(Standalone Mode):

在单机模式下,ZooKeeper 仅在一个单独的服务器节点上运行。
这种模式主要用于开发测试环境,便于快速部署和调试。
由于只有一个节点,没有数据冗余和故障转移机制,因此不具备高可用性。单节点故障会导致整个服务不可用,不适用于生产环境。
-------参考文献:
https://blog.csdn.net/qq_33240556/article/details/135029542

一、 java环境部署

首先下载linux对应的安装包
-------参考文献:
http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

解压安装包 ,并复制到 /usr/lib/jdk (该目录需要手动新建)

tar -zxvf jdk-8u211-linux-x64.tar.gz && mkdir -p /usr/local/jdk &&  mv jdk1.8.0_211 /usr/local/jdk/

配置java环境变量
这里是将环境变量配置在etc/profile,即为所有用户配置JDK环境。

cat >>/etc/profile <<EOF
#set java env
export JAVA_HOME=/usr/local/jdk/jdk1.8.0_211
export JRE_HOME=\${JAVA_HOME}/jre    
export CLASSPATH=.:\${JAVA_HOME}/lib:\${JRE_HOME}/lib    
export PATH=\${JAVA_HOME}/bin:\$PATH 
EOF

source /etc/profile

配置软连接

ln -s  /usr/local/jdk/jdk1.8.0_211/bin/java  /usr/bin/java  

java -version

whereis java

二、 zookeeper 搭建步骤概述

以下是 ZooKeeper 单机模式的详细安装和配置步骤:
cd /data/soft/zookeeper/Standalone
wget https://mirrors.aliyun.com/apache/zookeeper/zookeeper-3.9.2/apache-zookeeper-3.9.2-bin.tar.gz

tar -zxvf apache-zookeeper-3.9.2-bin.tar.gz

cd /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin

根据ZooKeeper的配置要求,需要创建两个目录分别用于存放数据和日志:

mkdir -p /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/{data,logs}

cd /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/conf

cat > /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/conf/zoo.cfg <<EOF
####################################
#
tickTime=2000
initLimit=10
syncLimit=5
dataDir=/data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/data
dataLogDir=/data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/logs
# the port at which the clients will connect
clientPort=2181
maxClientCnxns=600
#
#autopurge.purgeInterval=1
# https://prometheus.io Metrics Exporter
#metricsProvider.className=org.apache.zookeeper.metrics.prometheus.PrometheusMetricsProvider
#metricsProvider.httpHost=0.0.0.0
#metricsProvider.httpPort=7000
#metricsProvider.exportJvmInfo=true

# 我们经常在运行zookeeper服务时,不需要配置服务端口,服务默认会使用8080端口。
# 若此端口与系统其他服务冲突,就需要手动变更zookeeper的服务端口。
# admin.serverPort 默认占8080端口
admin.serverPort=6088

EOF

启动ZooKeeper:

cd /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/
bin/zkServer.sh start && tail -100 logs/zookeeper-root-server-${HOSTNAME}.out

##—如需命令方便全局调用,可配置环境变量

cat /etc/profile|grep "ZK_HOME" > /dev/null || cat >>/etc/profile <<EOF
#set zookeeper env
export ZK_HOME=/data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin
export PATH=\$PATH:\${ZK_HOME}/bin
EOF
#--使环境变量生效
source /etc/profile

#-----

admin端口暴露后容易暴露漏洞,此时,如果不用admin端口,在启动脚本加上"-Dzookeeper.admin.enableServer=false"

修改后的启动脚本/home/apache-zookeeper-3.6.1-bin/bin/zkServer.sh
大约在158行位置。

   nohup "$JAVA" $ZOO_DATADIR_AUTOCREATE "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" \
    "-Dzookeeper.log.file=${ZOO_LOG_FILE}"  \
    "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" \
    "-Dzookeeper.admin.enableServer=false" \
    -XX:+HeapDumpOnOutOfMemoryError -XX:OnOutOfMemoryError='kill -9 %p' \
    -cp "$CLASSPATH" $JVMFLAGS $ZOOMAIN "$ZOOCFG" > "$_ZOO_DAEMON_OUT" 2>&1 < /dev/null &

修改为保存。并重新启动 zk

bin/zkServer.sh start && tail -100 logs/zookeeper-root-server-${HOSTNAME}.out

三、 zookeeper 设置授权

-------参考文献:
https://www.cnblogs.com/ilovena/p/9484522.html
https://blog.csdn.net/u011418530/article/details/83650375

登陆

使用命令

cd /data/soft/zookeeper/Standalone/apache-zookeeper-3.9.2-bin/bin

./zkCli.sh -server 127.0.0.1:2181

查看所有节点(未授权之前)

[zk: 127.0.0.1:2181(CONNECTED) 3] ls /
[dolphinscheduler_acl, zookeeper]


[zk: 127.0.0.1:2181(CONNECTED) 3] ls /zookeeper
[config, quota]

获取权限

[zk: 127.0.0.1:2181(CONNECTED) 4] getAcl /zookeeper
'world,'anyone
: cdrwa

设置权限 :

[zk: 127.0.0.1:2181(CONNECTED) 4] addauth digest admin:My_zookeeper
[zk: 127.0.0.1:2181(CONNECTED) 4] setAcl /zookeeper auth:user:password:cdrwa

此时anyone已变成了用户和密码的密文。

[zk: 127.0.0.1:2181(CONNECTED) 4] getAcl /zookeeper
'digest,'admin:toR9QUyDYT6DLenaDLdmjtj8v6g=
: cdrwa

验证鉴权是否生效

先退出上次设定是的 cli

[zk: 127.0.0.1:2181(CONNECTED) 29] quit

重新连接

重新连接后,使用ls命令时,会报权限错误------

./zkCli.sh -server 127.0.0.1:2181
[zk: 127.0.0.1:2181(CONNECTED) 0] ls /
Insufficient permission : /
[zk: 127.0.0.1:2181(CONNECTED) 1] ls /zookeeper
Insufficient permission : /zookeeper

输入权限验证后,访问正常

[zk: 127.0.0.1:2181(CONNECTED) 2] addauth digest admin:My_zookeeper
[zk: 127.0.0.1:2181(CONNECTED) 3] ls /
[zookeeper]
[zk: 127.0.0.1:2181(CONNECTED) 4] ls /zookeeper
[config, quota]

退出登录

[zk: 127.0.0.1:2181(CONNECTED) 6] quit

the end

天道_宁静
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zookeeper授权漏洞复现及处理
kofterry的专栏
09-18 3629
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
zookeeper授权访问修复建议
07-14
ZooKeeper 授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出现授权访问的问题,...
linuxzookeeper集群安装
热门推荐
liangshitian的博客
05-29 1万+
1、前言   在大型分布式集群系统中,Zookeeper是一个非常重要的分布式协调服务组件;其应用场景非常广泛,如做服务的注册中心、实现分布式锁以及集群Master选举等等。本文讲述的,就是Zookeeper集群的搭建。Zookeeper本身是由Java语言开发的一个相对独立的基础分布式组件,因此,Zookeeper的安装除了需要安装JVM外,不再需要依赖其它环境 2、环境安装 我们先在一台虚拟机中安装配置好单个ZK服务,成功后我们克隆出多个虚拟机,就无需在其他虚拟机中重新下载安装zookeeper
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1623
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
zookeeper授权访问漏洞修复
weixin_43966996的博客
05-08 866
zookeeper进行服务ACL限制访问。
Zookeeper集群搭建常见问题
m0_59501411的博客
05-02 2690
通过命令:ZkServer.sh status查看zookeeper状态显示以下错误 1. Mode: standalone zookeeper处于单机模式,说明此时zookeeper的zoo.cfg文件配置有问题 2. Error contacting service. It is probably not running. (1)由于我们总共使用三个zookeeper服务器,所以会涉及到zookeeper之间的选举问题 因此我们需要同时在三个zookeeper中运行 zkSer...
zookeeper授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 3038
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
ZooKeeper 授权访问漏洞处理方法
08-31
ZooKeeper 授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
Zookeeper单机部署和集群部署文档.pdf
07-13
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。 本文档为单机部署和集群部署,带详细目录。
spark之Standalone模式部署配置详解
08-29
Spark 之 Standalone 模式部署配置详解 Spark 是一个基于内存的集群计算引擎,它可以在多种模式下运行,包括本地模式、伪分布式模式、集群模式等。在这些模式中,Standalone 模式是 Spark 的自带模式,对于大多数...
ZooKeeper通过ACL修复授权访问漏洞
05-06
ZooKeeper通过ACL修复授权访问漏洞,此文档适合学习
Zookeeper授权访问测试问题
09-29
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。这篇文章主要介绍了Zookeeper授权访问测试,需要的朋友可以参考下
linux部署apache-zookeeper-3.8.1集群
11-09 259
3.1、在apache-zookeeper-3.8.1/conf下,复制一份zoo_sample.cfg,改名为zoo.cfg。3.3、启动zookeeper之后,就可以通过 ./zkCli.sh 进入zookeeper管理台。在每台服务器上的zookeeper的data目录下都创建myid,并且输入编号1,2,3等数字。4.2、启动在zookeeper/bin目录下启动zookeeper。在zookeeper的/bin下面启动zookeeper。这样就可以启动单机版的zookeeper
存在 ZooKeeper 授权访问【原理扫描】--通过防火墙策略进行修复
最新发布
qyq88888的专栏
06-06 446
ELK集群存在 ZooKeeper 授权访问【原理扫描】
Linux-ZooKeeper授权访问漏洞修复方案
weixin_44281516的博客
04-27 2589
直接访问url https://blog.csdn.net/baidu_39459954/article/details/90748332
zookeeper授权访问渗透测试及修复方法
yunmuq的博客
11-25 4324
zookeeper授权访问危害 服务器信息泄露、集群被破坏 一、 四字命令授权使用 工具:netcat ,Linux或Windows都可以测 命令行输入echo envi|nc 10.10.10.10 2181即可查看服务器信息 命令有:envi stat ruok等 **修复:**不想泄露信息可以修改zookeeper/conf/zoo.cfg(zookeeper为安装目录),注释掉4lw.commands.whitelist相关的行。四字命令用于查询状态,zookeeper默认不开放这些命令,只有
高可用集群环境搭建之————zookeeper启动后总是standalone状态
YUFENG018891的博客
05-12 1万+
问题:配置的集群环境,但 status查看时,总是standalone思路:standalone为单机模式,只有配置了多个server时,才会是集群模式坑:   将zoo_simple.cfg改成了其他名字,并复制了一份,改为了zoo.cfg 解决:删除掉备份文件,只留zoo.cfg,问题解决...
zookeeper授权漏洞修复
09-20
授权访问是ZooKeeper的一个安全漏洞,可以通过以下方法修复漏洞: 1. 修复办法一(推荐):在ZooKeeper配置文件中启用ACL(访问控制列表),并配置正确的权限。ACL可以控制谁可以访问ZooKeeper节点和执行哪些操作。配置ACL后,只有经过授权的用户才能访问ZooKeeper节点。 2. 修复办法二:使用ZooKeeper提供的命令行工具或API,在ZooKeeper中为节点设置ACL。可以为节点设置不同级别的权限,例如只读、读写等。 3. 修复办法三(需要改程序):在ZooKeeper客户端代码中添加认证信息,以确保连接到ZooKeeper服务器时进行身份验证。可以使用用户名和密码进行认证,或者使用其他认证机制如Kerberos。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值