Zookeeper的API操作以及ACL权限

最新推荐文章于 2024-06-06 17:55:16 发布
最新推荐文章于 2024-06-06 17:55:16 发布
阅读量8.3k 收藏 8
点赞数 4
分类专栏: Zookeeper 大数据开发 文章标签: zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40861707/article/details/80403213
版权

Zookeeper的ACL权限

ACL官方文档链接

1. ACL的简介

首先说明一下为什么需要ACL
  简单来说 :在通常情况下,zookeeper允许未经授权的访问,因此在安全漏洞扫描中暴漏未授权访问漏洞。这在一些监控很严的系统中是不被允许的,所以需要ACL来控制权限.

接下来贴出来的截图是:实际环境中网路检测出来需要整改的zookeeper漏洞
下图是一个实际遇到的需求

既然需要ACL来控制权限,那么Zookeeper的权限有哪些呢?

权限包括以下几种:

CREATE: 能创建子节点
READ:能获取节点数据和列出其子节点
WRITE: 能设置节点数据
DELETE: 能删除子节点
ADMIN: 能设置权限
说到权限,就要介绍一下zookeeper的认证方式:

包括以下四种:

world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证

ACL基本介绍就到这里

2. 没有ACL认证时zookeeper的操作

直接上代码 : 更改一下服务器地址和端口号即可!

import java.io.IOException;

import org.apache.zookeeper.CreateMode;
import org.apache.zookeeper.KeeperException;
import org.apache.zookeeper.WatchedEvent;
import org.apache.zookeeper.Watcher;
import org.apache.zookeeper.ZooDefs.Ids;
import org.apache.zookeeper.ZooKeeper;

public class ZkConn {
	 public static void main(String[] args) 
             throws IOException, KeeperException, InterruptedException {
     /**
      *  创建一个与服务器的连接
      *  参数一:服务器地址和端口号(该端口号值服务器允许客户端连接的端口号)
      *  参数二:连接会话超时时间
      *  参数三:观察者,连接成功会触发该观察者。不过只会触发一次。
      *      该Watcher会获取各种事件的通知
      */
     ZooKeeper zk = new ZooKeeper("node005:4180", 60000, new Watcher() {
         // 监控所有被触发的事件
         public void process(WatchedEvent event) {
             System.out.println("监控所有被触发的事件:EVENT:" + event.getType());
         }
     });
     System.out.println("*******************************************************");
     // 查看根节点的子节点
     System.out.println("查看根节点的子节点:ls / => " + zk.getChildren("/", true));
     System.out.println("*******************************************************");
     // 创建一个目录节点
     if (zk.exists("/node", true) == null) {
         /**
          * 参数一:路径地址
          * 参数二:想要保存的数据,需要转换成字节数组
          * 参数三:ACL访问控制列表(Access control list),
          *      参数类型为ArrayList<ACL>,Ids接口提供了一些默认的值可以调用。
          *      OPEN_ACL_UNSAFE     This is a completely open ACL 
          *                          这是一个完全开放的ACL,不安全
          *      CREATOR_ALL_ACL     This ACL gives the
          *                           creators authentication id's all permissions.
          *                          这个ACL赋予那些授权了的用户具备权限
          *      READ_ACL_UNSAFE     This ACL gives the world the ability to read.
          *                          这个ACL赋予用户读的权限,也就是获取数据之类的权限。
          * 参数四:创建的节点类型。枚举值CreateMode
          *      PERSISTENT (0, false, false)
          *      PERSISTENT_SEQUENTIAL (2, false, true)
          *          这两个类型创建的都是持久型类型节点,回话结束之后不会自动删除。
          *          区别在于,第二个类型所创建的节点名后会有一个单调递增的数值
          *      EPHEMERAL (1, true, false)
          *      EPHEMERAL_SEQUENTIAL (3, true, true)
          *          这两个类型所创建的是临时型类型节点,在回话结束之后,自动删除。
          *          区别在于,第二个类型所创建的临时型节点名后面会有一个单调递增的数值。
          * 最后create()方法的返回值是创建的节点的实际路径
          */
         zk.create("/node", "conan".getBytes(),
                 Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);
         System.out.println("创建一个目录节点:create /node conan");
         /**
          *  查看/node节点数据,这里应该输出"conan"
          *  参数一:获取节点的路径
          *  参数二:说明是否需要观察该节点,设置为true,则设定共享默认的观察器
          *  参数三:stat类,保存节点的信息。例如数据版本信息,创建时间,修改时间等信息
          */
         System.out.println("查看/node节点数据:get /node => "
                 + new String(zk.getData("/node", false, null)));
         /**
          * 查看根节点
          * 在此查看根节点的值,这里应该输出上面所创建的/node节点
          */
         System.out.println("查看根节点:ls / => " + zk.getChildren("/", true));
     }
     System.out.println("*******************************************************");
     // 创建一个子目录节点
     if (zk.exists("/node/sub1", true) == null) {
         zk.create("/node/sub1", "sub1".getBytes(),
                 Ids.OPEN_ACL_UNSAFE, CreateMode.PERSISTENT);
         System.out.println("创建一个子目录节点:create /node/sub1 sub1");
         // 查看node节点
         System.out.println("查看node节点:ls /node => "
                 + zk.getChildren("/node", true));
     }
     System.out.println("*******************************************************");
     /**
      *  修改节点数据
      *  修改的数据会覆盖上次所设置的数据
      *  setData()方法参数一、参数二不多说,与上面类似。
      *  参数三:数值型。需要传入该界面的数值类型版本号!!!
      *      该信息可以通过Stat类获取,也可以通过命令行获取。
      *      如果该值设置为-1,就是忽视版本匹配,直接设置节点保存的值。
      */
     if (zk.exists("/node", true) != null) {
         zk.setData("/node", "changed".getBytes(), -1);
         // 查看/node节点数据
         System.out.println("修改节点数据:get /node => "
                 + new String(zk.getData("/node", false, null)));
     }
     System.out.println("*******************************************************");
     // 删除节点
     if (zk.exists("/node/sub1", true) != null) {
         zk.delete("/node/sub1", -1);
         zk.delete("/node", -1);
         // 查看根节点
         System.out.println("删除节点:ls / => " + zk.getChildren("/", true));
     }
     // 关闭连接
     zk.close();
 }
}

以下是代码的运行结果 :
(程序运行开始控制台打印出来的很多日志信息就不一一截取了)

2018-05-22 08:41:14,942 INFO  [main-SendThread(node005:4180)] zookeeper.ClientCnxn (ClientCnxn.java:logStartConnect(975)) - Opening socket connection to server node005/192.168.1.54:4180. Will not attempt to authenticate using SASL (unknown error)
2018-05-22 08:41:14,944 INFO  [main-SendThread(node005:4180)] zookeeper.ClientCnxn (ClientCnxn.java:primeConnection(852)) - Socket connection established to node005/192.168.1.54:4180, initiating session
2018-05-22 08:41:15,007 INFO  [main-SendThread(node005:4180)] zookeeper.ClientCnxn (ClientCnxn.java:onConnected(1235)) - Session establishment complete on server node005/192.168.1.54:4180, sessionid = 0x36010c48e1200017, negotiated timeout = 40000
监控所有被触发的事件:EVENT:None
查看根节点的子节点:ls / => [super, kaishuntest1, testWatch, zookeeper, kaishuntest, zks10000000041, demo, hbase, kaishun]
*******************************************************
监控所有被触发的事件:EVENT:NodeCreated
监控所有被触发的事件:EVENT:NodeChildrenChanged
创建一个目录节点:create /node conan
查看/node节点数据:get /node => conan
查看根节点:ls / => [super, kaishuntest1, node, testWatch, zookeeper, kaishuntest, zks10000000041, demo, hbase, kaishun]
*******************************************************
监控所有被触发的事件:EVENT:NodeCreated
创建一个子目录节点:create /node/sub1 sub1
查看node节点:ls /node => [sub1]
*******************************************************
监控所有被触发的事件:EVENT:NodeDataChanged
修改节点数据:get /node => changed
*******************************************************
监控所有被触发的事件:EVENT:NodeDeleted
监控所有被触发的事件:EVENT:NodeChildrenChanged
监控所有被触发的事件:EVENT:NodeChildrenChanged
删除节点:ls / => [super, kaishuntest1, testWatch, zookeeper, kaishuntest, zks10000000041, demo, hbase, kaishun]
2018-05-22 08:41:15,178 INFO  [main] zookeeper.ZooKeeper (ZooKeeper.java:close(684)) - Session: 0x36010c48e1200017 closed
2018-05-22 08:41:15,178 INFO  [main-EventThread] zookeeper.ClientCnxn (ClientCnxn.java:run(512)) - EventThread shut down

从这里面可以看到,在没有进行任何设置的前提下,所有的操作都时被允许的!

3.接下来开始添加ACL认证

a. 首先进入到zookeeper
在zookeeper安装目录下的bin目录执行 : 
zkCli.sh -server 192.168.1.54:4180 // 服务器地址 : zookeeper端口号(默认2181)
b. 没有添加ACL认证的节点信息
create /test // 创建一个进行ACL认证测试的节点
getAcl /test // 获取该节点信息
控制台输出 :
'world,'anyone
: cdrwa
// 从结果来看,结合之前的介绍来看,新创建的节点默认是全世界都可以访问,并且具有全部的5种权限的.
c. 添加ACL认证
create /test 'test-data' //创建节点 
addauth digest xmr:123456 //增加一个认证用户  格式 addauth digest 用户名:密码
 setAcl /test auth:xmr:123456:r //对新增加的用户设置权限,r代表只读权限
 getAcl /test //获取节点信息

这里写图片描述
从控制台的输出可以看到,密码已经被加密,加密规则如下:

static public String generateDigest(String idPassword)
        throws NoSuchAlgorithmException {
    String parts[] = idPassword.split(":", 2);
    byte digest[] = MessageDigest.getInstance("SHA1").digest(
            idPassword.getBytes());
    return parts[0] + ":" + base64Encode(digest);
}

SHA1加密,然后base64编码

这个时候我们来试验一下对刚刚的节点进行非读取操作

set /test nihao // 向该节点里面写入数据(如果该节点存在数据,此操作为修改数据)
控制台返回如下 :
Authentication is not valid : /test // 说明我们配置的ACL认证已经生效

** 刚刚介绍的API操作再走一发,这次只列出部分代码**

   if (zk.exists("/test", true) != null) {
         zk.setData("/test", "ACL认证".getBytes(), -1);
         // 查看/node节点数据
         System.out.println("修改节点数据:get /test => "
                 + new String(zk.getData("/test", false, null)));
     }
     System.out.println("*******************************************************");

尝试修改,test节点的数据, 之前怎么做都是没问题的,现在呢?

控制台输出结果如下:
Exception in thread "main" org.apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /test
	at org.apache.zookeeper.KeeperException.create(KeeperException.java:113)
	at org.apache.zookeeper.KeeperException.create(KeeperException.java:51)
	at org.apache.zookeeper.ZooKeeper.setData(ZooKeeper.java:1270)
	at mastercom.cn.zookeeper.ZkConn.main(ZkConn.java:94)

可见,ACL权限设置的作用就在这儿了!

注意事项:
要修改某个节点的ACL属性,必须具有read、admin二种权限。
要删除某个节点下的子节点,必须具有对父节点的read权限,以及父节点的delete权限。

遇到的问题 :

在本地集群,以及代码测试 : 设置的ACL认证确实有效,成功的避免了一些用户对于zookeeper的任意操作!
但是在实际中,遇到了巨大的问题!
由于现场的集群配置的是高可用的,zookeeper下面有如下节点 :

zookeeper,hadoop-ha,spark等等

对集群下面所有节点 都设置了ACL权限认证之后,集群的启动直接报错!集群彻底爆炸!

尝试了各种各样的办法都宣告失败之后,使用通过zookeeper超级用户模式访问这些节点,我们修改了zookeeper的zookeeper.DigestAuthenticationProvider.superDigest参数。

在zkServer.sh配置启动参数:

nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" "-Dzookeeper.DigestAuthenticationProvider.superDigest=super:g9oN2HttPfn8MMWJZ2r45Np/LIA=" \

提示 : /nohup 找到该位置, 然后添加进去即可
重要的是添加下图中的这一行!!!这里的super: 后面跟的是:superpw的密文
添加后的结果如下所示:
重启zookeeper之后,执行:

addauth digest super:superpw //添加超级用户,设置密码superpw(对应于: g9oN2HttPfn8MMWJZ2r45Np/LIA=")

将zookeeper下面的所有节点: 设置为

'world,'anyone
: cdrwa
命令如下 : 
setAcl /testAcl world:anyone:cdrwa //将该节点设置为最高权限!

然后重启集群, 问题得到解决!!!
最终,我们使用ACL ip认证的方式,完美解决系统漏洞的问题!
参考的博客链接

new个对象先
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ZooKeeper服务-操作(API、集合更新、观察者、ACL)
weixin_30691871的博客
11-25 119
操作 create:创建一个znode(必须要有父节点)delete:删除一个znode(该znode不能有任何子节点)exists:测试一个znode是否存在并且查询它的元数据getACL,setACL:获取/设置一个znode的ACLgetChildren:获取一个znode的子节点列表getData,setData:获取/设置一个znode所保存的数据sync:将客户端的znode视图与Z...
zookeeper ACL使用
一只倔强的蜗牛的博客
09-04 242
生产环境中,经常会有多个项目使用zookeeper,例如多个hbase集群。每个项目搭建一套独立的zookeeper,无论从机器成本,还是运维成本,都是一笔额外的开销。 然而多项目,多集群共用zookeeper又涉及一个权限隔离的问题。zookeeper本身提供了ACL机制,表示为scheme:id:permissions,第一个字段表示采用哪一种机制,第二个id表示 用户,permi...
存在 ZooKeeper 未授权访问【原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 479
ELK集群存在 ZooKeeper 未授权访问【原理扫描】
ZooKeeperACL权限控制
piaoniu_1985的专栏
05-05 722
ZooKeeperACL权限控制, 可以控制节点的读写操作, 保证数据的安全性
zookeeper ACL 权限控制
CREATE_17的博客
04-14 2727
版本说明: zookeeper:3.4.6 一、概述 zooKeeper使用acl(Access Control List)来控制对其znode(zooKeeper数据树的数据节点)的访问。 不过,zookeeperacl并不像HDFS系统的acl一样,可以递归控制权限zookeeperacl不是递归的,仅适用于特定的znode。比如/app这个znode,设置一些权限,只能某用户可以访...
Zookeeper 节点权限控制ACL详解
渔夫数据库笔记
07-26 4276
Zookeeper可以使用ACL(access control list)访问控制列表来对节点的权限进行控制
zookeeper C API中文文档
12-19
Zookeeper C API 定义了一些常量,用于标识不同的权限ACL。 * ZOO_PERM_READ:允许客户端读取 znode 节点的值以及子节点列表。 * ZOO_PERM_WRITE:允许客户端设置 znode 节点的值。 * ZOO_PERM_CREATE:允许...
zookeeper-api基础.zip
最新发布
06-17
Zookeeper提供ACL(Access Control List)机制进行权限控制,每个ZNode都可以有自己的访问控制策略。ACL由ID、权限和scheme组成,其中ID是权限的拥有者,scheme是权限认证方式,权限包括读、写、执行、创建子节点和...
zookeeper-API开发lib
02-12
ZooKeeper API是开发者与ZooKeeper交互的主要方式,它提供了丰富的Java客户端接口,使得开发者能够方便地进行数据的读写、监控节点变化、创建和删除节点等操作。以下是一些关键的ZooKeeper API知识点: 1. **连接与...
zookeeper编程api
03-20
Zookeeper提供了一套细粒度的权限控制,通过`ACL`对象定义谁可以对哪些资源执行什么操作。每个节点都有自己的ACL,创建节点时可以指定,也可以后续修改。 7. **事务操作**: `ZooKeeper`提供了事务操作接口,如`...
Zookeeper的java原生API
01-09
Zookeeper还支持ACL(Access Control Lists),通过`org.apache.zookeeper.ACL`和`org.apache.zookeeper.data.Id`来定义节点的访问权限。每个`ACL`由一个`Id`(表示认证信息)和一个`Permission`(表示权限)组成,`...
Zookeeper(Kafka内置)单独添加SASL认证及ACL
Sayai的专栏
07-16 1266
通常,我们会给Kafka增加SASL以加强对kafka的安全访问,以满足漏扫对于kafka的访问安全漏扫要求。但漏扫的时候也会同样会对Kafka集群中的zk集群进行扫描。所以zk集群同样涉及到要配置kafka的安全认证。
Zookeeper -- 如何设置访问白名单 & 解决ZooKeeper 未授权访问的扫描漏洞
支棱起来
08-12 4040
扫描软件的漏洞描述 详细描述 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许未经授权的访问。 解决办法 为ZooKeeper配置相应的访问权限。 方式一: 1
Zookeeper(三):集群
qq_30155803的博客
07-01 399
2、集群中实例的角色及状态 (1)集群中的角色当写的请求发送到Follower后会被转发到Leader上(2)集群中的状态 ZAB协议,即zookeeper原子广播协议,用于保证集群中各实例数据的一致性,主要包含两部分:集群正常运行时的用于保证数据一致性的原子广播,崩溃恢复时的数据恢复。用于保证主从数据的同步,核心的思想是:二阶段提交(2pc)和过半原则。a、 二阶段提交: 第一阶段:广播数据的变更提议,Follower在接收到后保存在磁盘事务日志文件中,并返回ack。
kong api gateway 插件之acl
偶爱喝可乐
11-03 3636
添加一个API curl -i -X POST \ --url http://localhost:8001/apis/ \ --data 'name=example-api' \ --data 'uris=/user' \ --data 'upstream_url=http://test.my' 返回值 { "created_at":1509616750000
ZookeeperACL权限控制
weixiaohuai的博客
01-19 611
目录 一、概述 二、acl权限各部分组成说明 三、授权的相关命令 四、world授权模式 五、IP授权模式 六、Auth授权模式 七、Digest授权模式 八、多种模式授权 九、总结 一、概述 zookeeper类似linux文件系统,客户端可以创建数据节点、更新节点数据、删除节点等,那么我们如何做到节点的权限控制呢?回想一下linux文件的权限文件,由r(读)、w(写)、x(可执行)组成,同理,zookeeper中存在访问控制列表,也可以实现类似的权限控制。 acl 权限控制,使用
实战:kafka、zookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6700
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL
Zookeeper基础常用操作以及ACL权限
qq_40874285的博客
08-14 1760
这次将Zookeeper的一些基础用法以及权限这块的都补充一下在这篇博客中。 上篇博客介绍了基于ZooKeeper实现的分布式锁,也介绍了一些ZooKeeper的节点类型以及监听机制,今天这里就不作过多的介绍了,大家也可以自行的去官方文档上看看更具体的介绍ZooKeeper官方链接 会话 会话(session)是zookepper非常重要的概念,客户端和服务端之间的任何交互操作都与会话有关, 客户端与服务端的一次会话连接,本质是TCP长连接,通过会话可以进行心跳检测和数据传输: 看下这图,Z.
ZooKeeper设置ACL权限控制
热门推荐
专注技术交流、咨询
12-19 1万+
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表已经认证通过的用户(cli中可以通
zookeeper如何实现ACL
05-30
可以使用Zookeeper提供的命令行工具或API来创建节点和设置ACL。例如,在命令行中执行以下命令来创建节点/myapp,并设置ACL使得用户组“myuser”可以对该节点进行读取操作: ``` create /myapp "hello world" acl:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值