Zookeeper-节点ACL权限设置

最新推荐文章于 2022-11-21 21:00:25 发布
最新推荐文章于 2022-11-21 21:00:25 发布
阅读量944 收藏
点赞数 1
分类专栏: Zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010277958/article/details/92444931
版权

概述

ACL全称为Access Control List(访问控制列表),用于控制资源的访问权限。ZooKeeper使用ACL来控制对其znode(ZooKeeper数据树的数据节点)的访问。ACL实现与UNIX文件访问权限非常相似:它使用权限位来允许/禁止针对节点的各种操作以及位应用的范围。与标准UNIX权限不同,ZooKeeper节点不受用户(文件所有者),组和world(其他)的三个标准范围的限制。
zk利用ACL策略控制节点的访问权限,如节点数据读写、节点创建、节点删除、读取子节点列表、设置节点权限等。
在传统的文件系统中,一个文件拥有某个组的权限即拥有了组里的所有权限,文件或子目录默认会继承自父目录的ACL。而在Zookeeper中,znode的ACL是没有继承关系的,每个znode的权限都是独立控制的,只有客户端满足znode设置的权限要求时,才能完成相应的操作。Zookeeper的ACL,分为三个维度:scheme、id、permission,通常表示为:scheme:id:permission,schema代表授权策略,id代表用户,permission代表权限。下面分别讲述一下这三个属性:

1.scheme

scheme即采取的授权策略,每种授权策略对应不同的权限校验方式。下面是zk常用的几种scheme:

  • world:默认方式,相当于全世界都能访问
  • auth:不使用任何id,表示任何经过身份验证的用户。
  • digest:即用户名:密码这种方式认证,这也是业务系统中最常用的,使用username:password字符串生成MD5哈希,然后将其用作ACL的ID标识。通过以明文形式发送 例如:wangsaichao:123456 来完成身份验证。在ACL中使用时,表达式将是wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=。
  • ip:使用Ip地址认证

1.1 world

语法:world:anyone:cdrwa
创建节点默认的scheme,所有人都可以访问。

操作示例:

## 创建新的节点 /node01
[zk: localhost:2181(CONNECTED) 10] create /node01 234
Created /node01
# 查看ACL
[zk: localhost:2181(CONNECTED) 11] getAcl /node01
'world,'anyone
: cdrwa
[zk: localhost:2181(CONNECTED) 12]

1.2 digest

语法:digest:username:BASE64(SHA1(password)):cdrwa
digest:是授权方式
username:BASE64(SHA1(password)):是id部分
cdrwa:权限部份
用户名+密码授权访问方式,也是常用的一种授权策略。id部份是用户名和密码做sha1加密再做BASE64加密后的组合,比如设置一个节点的用户名为wangsaichao,密码为123456,则表示方式为:
原:wangsaicaho:BASE64(SHA1(123456))
正确:wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=。
密码加密需要用到zk的一个工具类来生成,如下所示:

java -Djava.ext.dirs=/Users/wangsaichao/Desktop/zookeeper-3.4.6/lib -cp /Users/wangsaichao/Desktop/zookeeper-3.4.6/zookeeper-3.4.6.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider wangsaichao:123456
wangsaichao:123456->wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=

操作示例:

## 查看/根节点
[zk: localhost:2181(CONNECTED) 1] ls /
[zookeeper]
## 创建节点/node
[zk: localhost:2181(CONNECTED) 2] create /node 123
Created /node
## 设置权限
[zk: localhost:2181(CONNECTED) 3] setAcl /node digest:wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=:cdrwa
cZxid = 0x2
ctime = Sun Sep 09 16:25:51 CST 2018
mZxid = 0x2
mtime = Sun Sep 09 16:25:51 CST 2018
pZxid = 0x2
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 获取节点刚刚设置的权限
[zk: localhost:2181(CONNECTED) 4] getAcl /node
'digest,'wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=
: cdrwa
## 没有授权,创建子节点失败
[zk: localhost:2181(CONNECTED) 5] create /node/child_01 234
Authentication is not valid : /node/child_01
## 为当前session添加授权信息
[zk: localhost:2181(CONNECTED) 6] addauth digest wangsaichao:123456
## 添加授权信息后,创建子节点成功
[zk: localhost:2181(CONNECTED) 7] create /node/child_01 234        
Created /node/child_01
[zk: localhost:2181(CONNECTED) 8]

1.3 auth

scheme为auth时,不需要id。说的不需要id,但是还需要使用一个username:password的expression来表示这个权限,你也可以理解其实就是id

操作示例:

## 创建一个新的节点 /test_node1
[zk: localhost:2181(CONNECTED) 23] create  /test_node1 121
Created /test_node1
## 添加授权账号
[zk: localhost:2181(CONNECTED) 24] addauth digest zookeeper:zookeeper
## 然后设置节点的ACL
[zk: localhost:2181(CONNECTED) 25] setAcl /test_node1 auth:zookeeper:zookeeper:cdrwa
cZxid = 0x13
ctime = Sun Sep 09 17:46:26 CST 2018
mZxid = 0x13
mtime = Sun Sep 09 17:46:26 CST 2018
pZxid = 0x13
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 查看刚才设置的ACL
[zk: localhost:2181(CONNECTED) 26] getAcl /test_node1
'digest,'zookeeper:4lvlzsipXVaEhXMd+2qMrLc0at8=
: cdrwa
[zk: localhost:2181(CONNECTED) 27]
这里有一个坑,在使用auth授权时,一定要先执行addauth digest zookeeper:zookeeper然后再授权,否则将使用上一次的授权expression。下面举个例子。执行多次addauth digest 用户名:密码 操作,在新的节点设置auth时,将都会生效。具体例子如下:
## 创建一个新的节点 /test_node2
[zk: localhost:2181(CONNECTED) 27] create /test_node2 234
Created /test_node2
## 设置auth授权, 使用一个并不存在的 hello用户,依然成功了
[zk: localhost:2181(CONNECTED) 28] setAcl /test_node2 auth:hello:hello:cdrwa
cZxid = 0x15
ctime = Sun Sep 09 17:50:10 CST 2018
mZxid = 0x15
mtime = Sun Sep 09 17:50:10 CST 2018
pZxid = 0x15
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 查看ACL 竟然是之前的zookeeper用户
[zk: localhost:2181(CONNECTED) 29] getAcl /test_node2
'digest,'zookeeper:4lvlzsipXVaEhXMd+2qMrLc0at8=
: cdrwa
## 这个时候添加 hello 用户
[zk: localhost:2181(CONNECTED) 30] addauth digest hello:hello    
## 创建新的节点 /test_node3
[zk: localhost:2181(CONNECTED) 31] create /test_node3 456                   
Created /test_node3
## 查看ACL 这个时候还是world
[zk: localhost:2181(CONNECTED) 32] getAcl /test_node3
'world,'anyone
: cdrwa
## 设置auth ACL
[zk: localhost:2181(CONNECTED) 33] setAcl /test_node3 auth:hello:hello:cdrwa
cZxid = 0x17
ctime = Sun Sep 09 17:53:14 CST 2018
mZxid = 0x17
mtime = Sun Sep 09 17:53:14 CST 2018
pZxid = 0x17
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 3
numChildren = 0
## 查看ACL 发现之前的zookeeper用户也存在
[zk: localhost:2181(CONNECTED) 34] getAcl /test_node3
'digest,'zookeeper:4lvlzsipXVaEhXMd+2qMrLc0at8=
: cdrwa
'digest,'hello:uXpRvPoy9gsHHSCo8uMtZmaXPIA=
: cdrwa
[zk: localhost:2181(CONNECTED) 35]

1.4 ip

基于客户端IP地址校验,限制只允许指定的客户端能操作znode。
比如,设置某个节点只允许IP为127.0.0.1的客户端能读写该写节点的数据:ip:127.0.0.1:rw

操作示例:

## 给node节点添加新的ACL权限
[zk: localhost:2181(CONNECTED) 8] setAcl /node ip:127.0.0.1:cdrwa 
cZxid = 0x2
ctime = Sun Sep 09 16:25:51 CST 2018
mZxid = 0x2
mtime = Sun Sep 09 16:25:51 CST 2018
pZxid = 0x5
cversion = 1
dataVersion = 0
aclVersion = 2
ephemeralOwner = 0x0
dataLength = 3
numChildren = 1
## 查看ACL
[zk: localhost:2181(CONNECTED) 9] getAcl /node
'ip,'127.0.0.1
: cdrwa
[zk: localhost:2181(CONNECTED) 10]

 

2.id

id是验证模式,不同的scheme,id的值也不一样。scheme为digest时,id的值为:username:BASE64(SHA1(password)),scheme为ip时,id的值为客户端的ip地址。scheme为world时,id的值为anyone。scheme为auth时,id为 username:password。
 

3.permission

znode可以拥有的权限还记得之前的授权语句,如:
digest:username:BASE64(SHA1(password)):cdrwa中的cdrwa即是permission。

  • CREATE(r):创建子节点的权限
  • DELETE(d):删除节点的权限
  • READ(r):读取节点数据的权限
  • WRITE(w):修改节点数据的权限
  • ADMIN(a):设置子节点权限的权限

示例操作:

## 先在当前session中添加 wangsaichao:123456 用户
[zk: localhost:2181(CONNECTED) 35] addauth digest wangsaichao:123456
## 创建一个新的节点,并添加digest ACL(只能创建和删除) 因为是digest 所以密码为加密之后的
[zk: localhost:2181(CONNECTED) 36] create /test_node5 123 digest:wangsaichao:G2RdrM8e0u0f1vNCj/TI99ebRMw=:cd
Created /test_node5
## 没有WRITE权限, 设置节点数据 失败
[zk: localhost:2181(CONNECTED) 37] set /test_node5 234
Authentication is not valid : /test_node5
## 没有ADMIN权限,设置ACL失败
[zk: localhost:2181(CONNECTED) 38] setAcl /test_node5 auth:wangsaichao:123456:cdrwa
Authentication is not valid : /test_node5
## 没有READ权限, 读取节点 失败
[zk: localhost:2181(CONNECTED) 39] get /test_node5 
Authentication is not valid : /test_node5
## 具备CREATE权限,创建子节点成功
[[zk: localhost:2181(CONNECTED) 40] create /test_node5/child_01 123
Created /test_node5/child_01
## 具备DELETE权限,可以删除子节点
[zk: localhost:2181(CONNECTED) 41] delete /test_node5/child_01
[zk: localhost:2181(CONNECTED) 42]

 

欧拉兔
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zookeeper配置相应的acl权限
08-29
Zookeeper 权限配置 ACL Zookeeper 是一个高可用的分布式协调服务,可以为分布式应用程序提供配置维护、命名、提供分布式同步和GROUP服务。为了确保 Zookeeper 的安全性和可靠性,需要配置相应的 ACL 权限。本文将...
zookeeper-3.4.5-cdh5.16.2.tar.gz
01-14
3. **安全性设置**:可以通过SSL/TLS加密通信,以及ACL权限控制来保护数据安全。 4. **监控和维护**:定期检查日志,监控节点状态,及时处理异常情况。 总的来说,"zookeeper-3.4.5-cdh5.16.2.tar.gz"是构建和维护...
Zookeeper节点ACL权限设置(四)
这个名字想了很久
09-27 6259
原文地址,转载请注明出处: https://blog.csdn.net/qq_34021712/article/details/82871976     ©王赛超  官网地址 http://zookeeper.apache.org/doc/current/zookeeperProgrammers.html#sc_ZooKeeperAcce...
zookeeper节点权限介绍
weixin_34235135的博客
12-04 194
在《zookeeper介绍及环境搭建》、《zookeeper客户端的使用》和《zookeeper java api介绍》三篇文章中,分别介绍了ZooKeeper的实验环境搭建、ZooKeeper的数据结构、ZooKeeper客户端的使用和ZooKeeper提供的Java API。本篇文章我们将详细讨论ZooKeeper的另一个重要概念——...
zookeeper启动停止脚本
大数据学习之路Xy的博客
05-08 157
#!/bin/bash case $1 in "start"){ for i in hadoop102 hadoop103 hadoop104 do ssh $i "/opt/module/zookeeper-3.4.10/bin/zkServer.sh start" done };; "stop"){ for i in hadoop102 hadoop103 hadoop104 do
zookeeper未授权访问修复建议
最新发布
萌兔兔MMQ!!
11-21 2014
setAcl /path auth:用户名:密码明文:权限。addauth digest 用户名:密码明文。为ZooKeeper配置相应的访问权限。1)增加一个认证用户。
zTree设置节点不可选中,只可选中子节点(也可根据需求设置节点选中状态)
魏知非的博客
11-08 1万+
有两种方法:显示check radio 但是不能选中父节点只能选中子节点;另一种方法是直接不显示父节点的check radio 一、是在callback里写回调方法,都是显示check radio的,有两种情况,一种是不可选择,一种是判断是否是父节点,是的话直接返回 callback: { beforeCheck: this.zTreeBeforeCheck,//在...
apache-zookeeper-3.5.7-bin.tar.gz
03-25
2. **ACL(Access Control Lists)**:Zookeeper提供了细粒度的权限控制,允许对每个ZNode设置访问控制策略。 3. **Watcher**:Watcher是一种事件监听机制,可以注册在ZNode上,当ZNode发生变化时,Watcher会收到...
zookeeper-3.4.10.tar.gz
04-04
2. ACL(Access Control Lists):提供了一套权限控制机制,确保数据的安全性。 3. Watcher:允许客户端设置监听器,当节点发生变化时,ZooKeeper会通知客户端。 总结,ZooKeeper 3.4.10在Linux环境下的安装与配置...
zookeeper-3.4.8
02-11
6. **安全性**:学习如何配置权限控制,使用ACL(Access Control List)保护Zookeeper的数据安全。 7. **监控与诊断**:使用Zookeeper提供的监控工具,如ZKStat、ZKServerTool等,对集群状态进行实时监控和问题诊断...
ZooKeeper 未授权访问漏洞处理方法
08-31
ZooKeeper 未授权访问漏洞处理方法和重设setAcl,需要设置超级管理密码后,方可修改
ZooKeeper--ACL权限控制
weixin_42073629的博客
08-07 1356
一、前言 为了避免存储在 Zookeeper 上的数据被其他程序或者人为误修改,Zookeeper 提供了 ACL(Access Control Lists) 进行权限控制。只有拥有对应权限的用户才可以对节点进行增删改查等操作。下文分别介绍使用原生的 Shell 命令和 Apache Curator 客户端进行权限设置。 二、使用Shell进行权限管理 2.1 设置与查看权限 想要给某个节点设置权限 (ACL),有以下两个可选的命令: # 1.给已有节点赋予权限 setAcl path acl
ZooKeeper节点权限控制详解
前者已逝,后者未至。
03-21 578
目标 了解ZooKeeper的几种ACL机制; 熟练使用命令为ZooKeeper的目录分配权限ACL机制 格式:scheme:id:permissions,其中scheme表示ACL方案;id表示验证模式;permissions表示权限类型。 [scheme]:有四种类型(world、auth、digest、ip),含义如下: world:所有人都可以访问,且对应的id只有一个为anyone; auth:不需要id,只通过身份验证(authentication)来获得权限
ZooKeeper设置ACL权限控制,删除权限
萌兔兔MMQ!!
11-21 2785
因为zookeeper会默认启动这几个具有world和cdrwa权限的znode,“/” “/zookeeper” “/zookeeper/config"和”/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。好了,到这里,才是真正的解决了这个未授权访问漏洞问题了。
Zookeeper基础常用操作以及ACL权限
qq_40874285的博客
08-14 1763
这次将Zookeeper的一些基础用法以及权限这块的都补充一下在这篇博客中。 上篇博客介绍了基于ZooKeeper实现的分布式锁,也介绍了一些ZooKeeper节点类型以及监听机制,今天这里就不作过多的介绍了,大家也可以自行的去官方文档上看看更具体的介绍ZooKeeper官方链接 会话 会话(session)是zookepper非常重要的概念,客户端和服务端之间的任何交互操作都与会话有关, 客户端与服务端的一次会话连接,本质是TCP长连接,通过会话可以进行心跳检测和数据传输: 看下这图,Z.
zookeeper 权限控制及watch监听机制使用
Java是世界上最好的语言
01-21 3081
本文主要记录ZK中的相关特性,包括监听机制、权限控制等。 1. ZK特性 1.1 节点状态信息stat 节点除了存储数据内容以外,还存储了数据节点本身的一些状态信息,通过get命令可以获得状态信息的详细内容,如下所示。 状态属性 说明 cZxid 数据节点创建时的事务ID ctime 数据节点创建时的时间 mZxid 数据节点最后一次更新时的事务ID mtime 数据节点最后一次更新时的时间 pZxid 数据节点子节点列表最后一次被修改(是子节点列表变更,而不是子节点内容变
zookeeper--基础知识点--5--ACL
Chasing__Dreams的博客
02-09 669
ACL:Access Control List 访问控制列表 1 ACL构成 ACL 权限控制,使用:scheme : id : perm 来标识,主要涵盖 3 个方面: 权限模式(Scheme):授权的策略 授权对象(ID):授权的对象 权限(Permission):授予的权限 2 ACL 特性 ZooKeeper权限控制是基于每个znode节点的,需要对每个节点设置权限 每个znode支持设置多种权限控制方案和多个权限 子节点不会继承父节点权限,客户端无权访问节点,但可能可以访问它的子节点
ZooKeeper设置ACL权限控制
热门推荐
专注技术交流、咨询
12-19 1万+
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表已经认证通过的用户(cli中可以通
史上最完整的大数据学习(四) Zookeeper 完结篇 (API操作, shell命令 ,ZooKeeperACL 以及 分布式应用)
热忱的博客
07-08 1779
六、Java API操作 6.1 原生 API 1)Maven依赖 <!-- https://mvnrepository.com/artifact/org.apache.zookeeper/zookeeper --> <dependency> <groupId>org.apache.zookeeper</groupId> <artifactId>zookeeper</artif
Zookeeper-3.3.5源码分析与应用实践
9. ACL控制:ZooKeeper提供了细粒度的访问控制列表,允许对每个znode设置不同的权限策略。 10. 客户端启动流程:详细解析了Zookeeper客户端的初始化过程,包括Zookeeper类的主要职责。 11. 服务器启动流程:讲解了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值