zoopeeper设置acl权限控制(只允许特定ip访问,加强安全)

最新推荐文章于 2024-05-12 11:53:44 发布
最新推荐文章于 2024-05-12 11:53:44 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: linux 文章标签: tcp/ip 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42715225/article/details/125303386
版权
前言

为了加强访问zookeeper的安全,防止侵入式攻击,设置acl权限控制,只允许特定的Ip访问

acl配置ip
  • 这里以zookeeper版本3.6.1为例,采取docker方式部署
登陆执行终端
  • 语法
zkCli.sh -server <IP>:<port>

]# docker exec -it zookeeper /bin/bash
root@zookeeper:/apache-zookeeper-3.6.1-bin# /apache-zookeeper-3.6.1-bin/bin/zkCli.sh  -server 192.168.3.80:2181
Connecting to 192.168.3.80:2181
2022-06-15 16:18:55,868 [myid:] - INFO  [main:Environment@98] - Client environment:zookeeper.version=3.6.1--104dcb3e3fb464b30c5186d229e00af9f332524b, built on 04/21/2020 15:01 GMT
2022-06-15 16:18:55,873 [myid:] - INFO  [main:Environment@98] - Client environment:host.name=<NA>
2022-06-15 16:18:55,873 [myid:] - INFO  [main:Environment@98] - Client environment:java.version=11.0.8
2022-06-15 16:18:55,876 [myid:] - INFO  [main:Environment@98] - Client environment:java.vendor=N/A
2022-06-15 16:18:55,876 [myid:] - INFO  [main:Environment@98] - Client environment:java.home=/usr/local/openjdk-11
2022-06-15 16:18:55,877 [myid:] - INFO  [main:Environment@98] - Client environment:java.class.path=/apache-zookeeper-3.6.1-bin/bin/../zookeeper-server/target/classes:/apache-zookeeper-3.6.1-bin/bin/../build/classes:/apache-zookeeper-3.6.1-bin/bin/../zookeeper-server/target/lib/*.jar:/apache-zookeeper-3.6.1-bin/bin/../build/lib/*.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/zookeeper-prometheus-metrics-3.6.1.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/zookeeper-jute-3.6.1.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/zookeeper-3.6.1.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/snappy-java-1.1.7.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/slf4j-log4j12-1.7.25.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/slf4j-api-1.7.25.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/simpleclient_servlet-0.6.0.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/simpleclient_hotspot-0.6.0.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/simpleclient_common-0.6.0.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/simpleclient-0.6.0.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-transport-native-unix-common-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-transport-native-epoll-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-transport-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-resolver-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-handler-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-common-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-codec-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/netty-buffer-4.1.48.Final.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/metrics-core-3.2.5.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/log4j-1.2.17.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/json-simple-1.1.1.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jline-2.11.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-util-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-servlet-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-server-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-security-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-io-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jetty-http-9.4.24.v20191120.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/javax.servlet-api-3.1.0.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jackson-databind-2.10.3.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jackson-core-2.10.3.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/jackson-annotations-2.10.3.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/commons-lang-2.6.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/commons-cli-1.2.jar:/apache-zookeeper-3.6.1-bin/bin/../lib/audience-annotations-0.5.0.jar:/apache-zookeeper-3.6.1-bin/bin/../zookeeper-*.jar:/apache-zookeeper-3.6.1-bin/bin/../zookeeper-server/src/main/resources/lib/*.jar:/conf:
2022-06-15 16:18:55,877 [myid:] - INFO  [main:Environment@98] - Client environment:java.library.path=/usr/java/packages/lib:/usr/lib64:/lib64:/lib:/usr/lib
2022-06-15 16:18:55,877 [myid:] - INFO  [main:Environment@98] - Client environment:java.io.tmpdir=/tmp
2022-06-15 16:18:55,877 [myid:] - INFO  [main:Environment@98] - Client environment:java.compiler=<NA>
2022-06-15 16:18:55,877 [myid:] - INFO  [main:Environment@98] - Client environment:os.name=Linux
2022-06-15 16:18:55,878 [myid:] - INFO  [main:Environment@98] - Client environment:os.arch=amd64
2022-06-15 16:18:55,878 [myid:] - INFO  [main:Environment@98] - Client environment:os.version=3.10.0-1062.9.1.el7.x86_64
2022-06-15 16:18:55,878 [myid:] - INFO  [main:Environment@98] - Client environment:user.name=root
2022-06-15 16:18:55,878 [myid:] - INFO  [main:Environment@98] - Client environment:user.home=/root
2022-06-15 16:18:55,878 [myid:] - INFO  [main:Environment@98] - Client environment:user.dir=/apache-zookeeper-3.6.1-bin
2022-06-15 16:18:55,879 [myid:] - INFO  [main:Environment@98] - Client environment:os.memory.free=248MB
2022-06-15 16:18:55,881 [myid:] - INFO  [main:Environment@98] - Client environment:os.memory.max=256MB
2022-06-15 16:18:55,881 [myid:] - INFO  [main:Environment@98] - Client environment:os.memory.total=256MB
2022-06-15 16:18:55,889 [myid:] - INFO  [main:ZooKeeper@1005] - Initiating client connection, connectString=192.168.3.80:2181 sessionTimeout=30000 watcher=org.apache.zookeeper.ZooKeeperMain$MyWatcher@3d3fcdb0
2022-06-15 16:18:55,904 [myid:] - INFO  [main:X509Util@77] - Setting -D jdk.tls.rejectClientInitiatedRenegotiation=true to disable client-initiated TLS renegotiation
2022-06-15 16:18:55,924 [myid:] - INFO  [main:ClientCnxnSocket@239] - jute.maxbuffer value is 1048575 Bytes
2022-06-15 16:18:55,941 [myid:] - INFO  [main:ClientCnxn@1703] - zookeeper.request.timeout value is 0. feature enabled=false
Welcome to ZooKeeper!
2022-06-15 16:18:55,971 [myid:192.168.3.80:2181] - INFO  [main-SendThread(192.168.3.80:2181):ClientCnxn$SendThread@1154] - Opening socket connection to server 192.168.3.80/192.168.3.80:2181.
2022-06-15 16:18:55,972 [myid:192.168.3.80:2181] - INFO  [main-SendThread(192.168.3.80:2181):ClientCnxn$SendThread@1156] - SASL config status: Will not attempt to authenticate using SASL (unknown error)
2022-06-15 16:18:55,995 [myid:192.168.3.80:2181] - INFO  [main-SendThread(192.168.3.80:2181):ClientCnxn$SendThread@986] - Socket connection established, initiating session, client: /192.168.3.80:47584, server: 192.168.3.80/192.168.3.80:2181
JLine support is enabled
2022-06-15 16:18:56,018 [myid:192.168.3.80:2181] - INFO  [main-SendThread(192.168.3.80:2181):ClientCnxn$SendThread@1420] - Session establishment complete on server 192.168.3.80/192.168.3.80:2181, session id = 0x1012c090b8f0004, negotiated timeout = 30000

WATCHER::

WatchedEvent state:SyncConnected type:None path:null
[zk: 192.168.3.80:2181(CONNECTED) 0]
查看当前权限
  • 语法
getAcl /

[zk: 192.168.3.80:2181(CONNECTED) 0] getAcl /
'world,'anyone
: cdrwa
添加可访问IP
  • 语法
setAcl / ip:${ip}:cdrwa,ip:${ip}:cdrwa    # 可添加一个,亦可同时添加多个

[zk: 192.168.3.80:2181(CONNECTED) 1] setAcl / ip:192.168.3.80:cdrwa
[zk: 192.168.3.80:2181(CONNECTED) 2] getAcl /	#  查看添加后的权限
'ip,'192.168.3.80
: cdrwa
恢复
  • 语法
setAcl / world:anyone:cdrwa

[zk: 192.168.3.80:2181(CONNECTED) 3] setAcl / world:anyone:cdrwa
[zk: 192.168.3.80:2181(CONNECTED) 4] getAcl /	#  查看恢复后的权限
'world,'anyone
: cdrwa
结语

Linux系统安全加固-ZooKeeper未授权访问漏洞处理
Zookeeper 权限控制 ACL
ZooKeeper-cli: the ZooKeeper command line interface

devops_sre
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Zookeeper 权限
weixin_42728895的博客
11-24 1474
1 zookeeper权限模式 2 zookeeper授权命令 3 案例 c: 代表创建 create r: 读取 d:代表删除 w:写 a:admin world授权模式:命令 setAcl /hadoop world:anyone:cdrwa Auth授权模式 命令 addauth digest <user>:<password> #添加认证用户 setAcl <path>auth:<user>:<acl> addauth di
zookeeper 限制本机ip访问_只允许指定的ip访问本机的指定端口22:
weixin_28937075的博客
01-30 1790
允许指定的ip访问本机的指定端口22:允许的的ip:192.168.1.123, 192.168.1.124, 192.168.1.100,其他ip都禁止访问。切换到root用户1、在tcp协议中,禁止所有的ip访问本机的22端口。iptables -I INPUT -p tcp --dport 22 -j DROP2、允许192.168.1.123访问本机的22端口iptables -I IN...
zookeeper添加访问控制
weixin_45460314的博客
04-09 842
zookeeper添加访问控制zookeeper添加访问控制 方法1./zkCli.sh -server 192.168.21.1.111:2181 addauth digest szxy_v6:Zdsoft123com setAcl -R /dubbo auth:szxy_v6:Zdsoft123com:cdrwa方法2 查看当前权限getAcl /添加可访问IPsetAcl / ip:192.168.1.112:cdrwa,ip:192.168.1.113:cdrwa,ip:127.0.0.1:cdr
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证_docker远程接口未授权访问漏洞怎么解决
最新发布
2401_84968016的博客
05-12 398
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
ZooKeeper增加一个小功能:指定IP进行受限客户端过滤
weixin_30561425的博客
07-22 117
日期:2011-12-07作者:ni掌柜 (所有要下载的文件都在这里:https://issues.apache.org/jira/browse/ZOOKEEPER-1320) ZooKeeper功能定位专一,这“导致”了他并不支持一些“非主流”功能。但是有时候,作为ZooKeeper管理员还是很需要某些功能:比如通过指定ip的方式,拒绝某个客户端的...
华为交换机配置ACL限制用户通过HTTP/SSH登录设备,只允许指定IP登录交换机
热门推荐
玩人工智能的辣条哥的博客
09-24 1万+
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 只允许192.168.1.2可以通过HTTP/SSH访问交换机,其他IP不能访问 配置命令 system-view [LTG] acl 2001 [LTG-acl-basic-2001] rule 1 permit source 192.168.1.2 0 [LTG-acl-basic-2001] quit [LTG] ssh server a
ACL权限控制.docx
09-04
总的来说,这个系统通过ACL和用户角色模型实现了一套高效的权限控制系统,使得管理员可以轻松地管理和调整用户对系统的访问权限,同时保证了系统的安全性和稳定性。这种设计模式在现代Web应用、企业级软件和各种服务...
基于ACL访问控制安全策略的设计实验报告.doc
05-27
基于ACL访问控制安全策略的设计实验报告.doc
ACL访问控制列表.docx
10-13
ACL 访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。下面是 ACL 访问控制列表的相关知识点: 1. ACL 访问控制列表的定义:ACL 是路由器和交换机接口的指令列表,用来控制端口进出的数据包...
acl.zip_ACL_权限控制
09-21
在IT行业中,访问控制列表(Access Control List,简称ACL)是一种常见的权限管理机制,用于定义哪些用户或系统实体可以访问特定资源。在这个“acl.zip_ACL_权限控制”的压缩包中,我们有四个PHP文件:p2.php、acl_1...
访问控制列表ACL及配置教程
10-01
访问控制列表(Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
Zookeeper未授权访问【限定IP方式】
Jweilai
07-08 5472
漏洞描述 默认情况下,Zookeeper安装不会部署任何身份验证,这使得黑客很容易使用该漏洞收集信息,破坏集群。 解决方案 本次生产环境中,使用限定IP的方式解决该漏洞。限定集群内的机器拥有权限。 解决步骤 通过任意一台节点登录ZK Cli /usr/software/zookeeper/bin/zkCli.sh -server 192.168.157.101 对集群内IP授予权限 此操作...
是否可以拒绝单个IPZK访问,操作
weixin_33770878的博客
12-16 178
ZK本身不提供这样的功能,它仅仅提供了对单个IP的连接数的限制。你可以通过修改iptables来实现对单个ip的限制,当然,你也可以通过这样的方式来解决。https://issues.apache.org/jira/browse/ZOOKEEPER-1320...
zookeeper使用acl进行访问控制
金溪的博客
07-04 2038
Zookeeper不具有znode的拥有者的概念,相反,ACL指定id集以及与之对应的权限。还要注意的是一条ACL仅针对一个特定的节点,不适用于子节点,例如:如果/app只对ip:172.16.16.1可读,而/app/status是对任何人可读,acl不是递归的。 ACL是由scheme:expression,perms构成,例如: ip:19.2.0.0./16, READ   zoo...
利用ACL实现访问控制
m0_70851096的博客
10-22 444
3 4)在AR3的GE0/0/0接口进行高级ACL的配置并启用;先配置限制Telent服务器的ACL规则,再配置限制IPACL规则,若两个配置顺序打乱,则有可能造成需求实现失败。因为ACL规则是从上至下,依次匹配,一旦匹配成功,则不继续往下匹配;假如IP配置在前面,那么后面配置的Telnet规则就不会匹配上。在这种情况下,AR1可以ping通Telnet服务器,也能登录Telnet服务器,而AR2既不能ping通,也不能登录。4 )在接口处调用ACL列表时,调用的ACL列表的序号错误;
Zookeeper基础配置
吒哇
10-24 886
Zookeeper基础 单基部署 先把ZK安装起来,后面的很多操作,都是的前提都是由ZK的操作环境,先来把ZK安装好, Zookeeper windows环境安装 环境要求:必须要有jdk环境,本次讲课使用jdk1.8 1.安装jdk 2.安装Zookeeper. 在官网http://zookeeper.apache.org/下载zookeeper.我下载的是...
zk添加访问白名单
独孤飞磊
11-20 2766
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
华为设备acl访问限制,只允许特定ip访问特定ip如何操作
07-14
在华为设备上,您可以使用ACL来限制只允许特定IP访问特定IP。以下是一般的操作步骤: 1. 进入设备的系统视图: ``` system-view ``` 2. 创建一个ACL并定义允许访问的规则: ``` acl number <acl-number> rule ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值