[Zookeeper] ACL-保障数据的安全

最新推荐文章于 2024-01-28 14:30:06 发布
最新推荐文章于 2024-01-28 14:30:06 发布
阅读量253 收藏
点赞数
分类专栏: 框架 文章标签: 分布式 zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ycb1914845451/article/details/109229589
版权

Zookeeper作为一个分布式协调框架,其内部存储的都是一些关于分布式系统运行时状态的元数据,尤其是一些涉及到分布式锁、Master选举和分布式协调等应用场景的数据。数据的安全性一定程度上影响着系统的运行时状态。Zookeeper提供了一套完善的ACL(Access Control List)权限控制来保障数据的安全性。Acl。即访问控制列表。

ACL介绍

权限模式(Scheme)、授权对象(ID)和权限(permission),通常使用“scheme:id:permission”来标识一个有效的ACL信息。

权限模式(Scheme)

用来确定权限验证过程中使用的校验策略,Zookeeper中使用最多的就是如下四种。同时用户可以自定义权限控制模式。通过实现接口AuthenticationProvider

IP(IPAuthenticationProvider实现类)

    IP模式通过IP地址粒度来进行权限控制,如配置了“ip:192.168.1.1”,表示权限控制都是针对这个IP地址的。同时也支持按照网      段的方式,如“ip:192.168.0.1/24”。

Digest(DigestAuthenticationProvider实现类)

    Digest是最常用的权限控制模式,类似于“username:password”形式的权限表示来进行权限配置,便于区分不同应用来进行权        限控制。核心方法就是generateDigest,方法定义如下:

static public String generateDigest(String idPassword)
            throws NoSuchAlgorithmException {
        String parts[] = idPassword.split(":", 2);

        //使用SHA1算法对消息进行摘要
        byte digest[] = MessageDigest.getInstance("SHA1").digest(idPassword.getBytes());
        
        //对摘要后的消息进行base64Encode编码
        return parts[0] + ":" + base64Encode(digest);
    }

World

    World是一种最开放的权限控制模式,他只有一个权限标识“world:anyone”。使用这种模式,数据节点的访问权限对所有用户        开放。

Super

    Super模式,超级用户,是一种特殊的Digest模式,在Super模式下,超级用户可以对任意的Zookeeper上的数据节点进行任何      操作。

授权对象 ID

  • 不同的模式,授权对象是不同的。、
  • IP模式:通常是一个Ip地址或者是IP段
  • Digest模式:自定义
  • World模式:只有一个ID,即anyone
  • Super模式:自定义

权限 Permission:

  • CREATE(C):数据节点的创建权限,允许授权对象在该数据节点下创建子节点。
  • DELETE(D):子节点的删除权限,允许授权对象删除该数据节点下的子节点。
  • READ(R):数据节点的读取权限,允许授权对象访问该数据节点并读取其内容或子节点列表等
  • WRITE(W):数据节点的更新权限,允许授权对象对该数据节点进行更新操作。
  • ADMIN(A):数据节点的管理权限,运行授权对象对该数据节点进行ACL相关的设置操作

实现自定义的权限模式

实现接口AuthenticationProvider

注册自定义的权限模式

系统属性-DZookeeper.authProvider.X

       在Zookeeper启动参数中配置类似于如下的系统属性

              -DZookeeper.authProvider.1=com.xxx.xxx    --com.xxx.xxx表示自定义属性的全限定名

  配置文件方式

        在zoo.cfg配置文件中配置

               authProvider.1=com.xxx.xxx   --com.xxx.xxx表示自定义属性的全限定名

权限控制器的注册

对于权限控制器的注册,Zookeeper采用了延迟加载的策略,即第一次处理包含权限控制的客户端请求时,才会进行权限控制器的初始化,同时Zookeeper会将所有的权限控制器注册到ProviderRegistry中。

具体的延迟加载入口见ZookeeperServer的processPacket方法

public void processPacket(ServerCnxn cnxn, ByteBuffer incomingBuffer) throws IOException {
        .....
        RequestHeader h = new RequestHeader();
        h.deserialize(bia, "header");
        
        .....
        //如果请求的类型是auth则进行权限相关的处理
        if (h.getType() == OpCode.auth) {
            .....

            //获取权限模式
            String scheme = authPacket.getScheme();
            
            //从ProviderRegistry中获取权限控制器
            AuthenticationProvider ap = ProviderRegistry.getProvider(scheme);
            Code authReturn = KeeperException.Code.AUTHFAILED;
            if(ap != null) {
                try {
                    authReturn = ap.handleAuthentication(cnxn, authPacket.getAuth());
                } catch(RuntimeException e) {
                    LOG.warn("Caught runtime exception from AuthenticationProvider: " + scheme + " due to " + e);
                    authReturn = KeeperException.Code.AUTHFAILED;                   
                }
            }
}

ProviderRegistry.getProvider 如下所示

public static AuthenticationProvider getProvider(String scheme) {
        //权限控制器没加载过,则加载权限控制器
        if(!initialized)
            initialize();
        return authenticationProviders.get(scheme);
    }

public static void initialize() {
        synchronized (ProviderRegistry.class) {
            //双重检查,保证只会被初始化一次
            if (initialized)
                return;
            
            //先加载两个系统预置的IPAuthenticationProvider 和DigestAuthenticationProvider 
            IPAuthenticationProvider ipp = new IPAuthenticationProvider();
            DigestAuthenticationProvider digp = new DigestAuthenticationProvider();
            authenticationProviders.put(ipp.getScheme(), ipp);
            authenticationProviders.put(digp.getScheme(), digp);
            
            //获取系统变量相关中注册的,对于在zoo.cfg中注册的是怎样加载的呢?
            Enumeration<Object> en = System.getProperties().keys();
            while (en.hasMoreElements()) {
                String k = (String) en.nextElement();
                if (k.startsWith("zookeeper.authProvider.")) {
                    String className = System.getProperty(k);
                    try {
                        Class<?> c = ZooKeeperServer.class.getClassLoader()
                                .loadClass(className);
                        AuthenticationProvider ap = (AuthenticationProvider) c
                                .newInstance();
                        authenticationProviders.put(ap.getScheme(), ap);
                    } catch (Exception e) {
                        LOG.warn("Problems loading " + className,e);
                    }
                }
            }
            initialized = true;
        }
    }

从上的加载控制器的逻辑可知,先加载IPAuthenticationProvider 和DigestAuthenticationProvider,再加载 系统属性 设置的,那对于在zoo.cfg中配置的是怎么加载的呢?原理是Zookeeper服务端启动时会去解析配置文件(QuorumPeerConfig类的parseProperties方法)。代码如下:即System.setProperty("zookeeper."+key,value);

public void parseProperties(Properties zkProp)
    throws IOException, ConfigException {
        int clientPort = 0;
        String clientPortAddress = null;
        for (Entry<Object, Object> entry : zkProp.entrySet()) {
            String key = entry.getKey().toString().trim();
            String value = entry.getValue().toString().trim();
            if (key.equals("dataDir")) {
                dataDir = value;
            } 
            ....此中间设置了众多的else if ....
            
            else {
                //设置到系统属性中
                System.setProperty("zookeeper." + key, value);
            }
        }

ACL的使用,参考https://www.cnblogs.com/qlqwjy/p/10517231.html

仅供个人学习记录

码农随笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zookeeper安全漏洞修复
01-17
ZooKeeper 未授权访问【原理扫描】,zookeeper安全漏洞修复方法和操作步骤
zookeeper-3.4.14最新安全维护版本
09-11
总之,ZooKeeper 3.4.14是一个关键的安全更新版本,对于依赖它的大数据系统来说,及时升级到这个版本可以有效保障系统的安全性和稳定性。同时,了解ZooKeeper的核心特性和应用场景,对于理解和优化分布式系统具有...
Zookeeper ACL—保障数据安全
通往神秘的道路的专栏
09-01 202
ZooKeeper提供了一套完善的ACL(Access Control list)权限控制机制来保障数据安全
ZooKeeper ACL 保障数据安全
Life runs on code
03-19 1292
ZooKeeper uses ACLs to control access to its znodes (the data nodes of a ZooKeeper data tree). The ACL implementation is quite similar to UNIX file access permissions: it employs permission bits to al...
Zookeeper安全性考虑:防范潜在的安全风险
禅与计算机程序设计艺术
01-28 1036
1.背景介绍 在分布式系统中,Zookeeper是一个非常重要的组件,它提供了一种可靠的、高性能的协调服务。然而,在实际应用中,Zookeeper也面临着一系列的安全风险。为了确保Zookeeper安全性,我们需要深入了解其中潜在的安全风险,并采取相应的防范措施。 1. 背景介绍 Zookeeper是一个开源的分布式协调服务,它为分布式应用提供一致性、可靠性和高性能的数据管理服务。Zook...
zookeeper的ACL
weixin_35720385的博客
09-06 104
zookeeper的ACLZK提供了三种模式(权限模式,授权对象,权限)权限模式:Scheme,开发人员最多使用一下四种权限模式:权限对象:权限: ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布式系统运行时状态的元数据,尤其是涉及到一些分布式锁、Master选举和协调等应用场景。我们需要有效地保障Zookeeper中的数据安...
zookeeper-release-3.4.14.zip
10-17
此外,Zookeeper还支持SSL加密,保障通信的安全性。 通过阅读和分析Zookeeper 3.4.14的源码,我们可以更深入地理解其内部实现,包括数据结构、网络通信、一致性算法等,这对于优化分布式系统的设计和提高故障处理...
zookeeper-manage-center-master.zip
12-03
`zookeeper-manage-center-master`提供了对这些数据节点的管理功能,包括创建、删除、更新ZNode以及查看其属性(如ACL权限、版本号等)。这使得运维人员无需直接操作命令行,就能完成对Zookeeper数据的管理,提高了...
zookeeper-3.3.6
11-20
3. 安全性:Zookeeper支持基于ACL(Access Control List)的权限控制,可以对不同节点设置不同的访问权限。 四、Zookeeper-3.3.6的关键改进 1. 性能优化:3.3.6版本对网络通信进行了优化,提高了处理速度,降低了...
zookeeper-3.4.8
12-28
8. 安全机制:Zookeeper提供了ACL(Access Control List)访问控制,可以对不同的节点设置不同的权限,增强了系统的安全性。 在实际应用中,我们需要了解如何配置Zookeeper集群,如何在Dubbo中集成Zookeeper,以及...
zookeeper增加权限登录验证
11-19
针对zookeeper安全漏洞,增加了对访问ip地址的限制。
【中间件安全zookeeper安全学习
一个程序员
01-16 634
zk节点有如下权限CREATE: 能创建子节点READ:能获取节点数据和列出其子节点WRITE: 能设置节点数据DELETE: 能删除子节点ADMIN: 能设置权限world:默认方式,相当于全世界都能访问auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)digest:即用户名:密码这种方式认证,这也是业务系统中最常用的ip:使用Ip地址认证。
zookeeper配置文件安全
qq_34893654的博客
03-03 315
Zookeeper中实现分布式配置管理时,需要考虑配置文件的安全性。因为配置文件中可能包含敏感信息,如密码、密钥等。
ZooKeeper 权限管理
weixin_30388677的博客
12-03 122
这其中一个显而易见的问题就是权限:如果我的数据被别人动了怎么办? 方案一:采用ZooKeeper支持的ACL digest方式,用户自己定义节点的权限 这种方案将zookeeper的acl和digest授权认证模式相结合。具体操作流程如下: 可以把这个访问授权过程看作是用户注册,系统给你一个密码,每次操作使用这个用户名(appNa...
部署storm统计服务开启zookeeper(ACL认证)
平凡的运维之路的博客
01-04 533
【代码】部署storm统计服务开启zookeeper(ACL认证)
zookeeper安全认证和实际应用
上善若泪
03-26 1610
文章目录1 zk的安全认证1.1 zookeeper的ACL1.2 代码说明2 zk的实际应用2.1 在eclipse中添加工具2.2 代码说明2.2.1 服务器端2.2.2 客户端一2.2.3 客户端二2.2.4 测试端 1 zk的安全认证 1.1 zookeeper的ACL ACL(Access Control List),Zookeeper作为一个分布式协调框架,其内部存储的都是一些关乎分布...
ZooKeeper】高并发下保证数据安全修改
鲜衣怒马楼兰月
08-23 917
//定义常量const,将data字符串化后排序 const paramsKeys = Object.keys(data).sort() //定义常量md5,给任意数据一个“签名”,十六进制的字符串,crypto是Nodejs模块 const md5 = crypto.createHash(‘md5’) for (const key of paramsKeys) { //如果相等,结束本次循环,...
Zookeeper 配置-不安全的选项
金溪的博客
07-04 776
forceSync 决定了写进去的数据是否应该sync到磁盘,yes或者no。 默认值为yes,在数据被sync到磁盘之前,事务对应的ack不会被发送回leader。sync系统调用很昂贵,且是事务处理中耗时最大的步骤。如果设置为no,那么数据是一旦写到操作系统时,事务的ack马上会被发送,通常在数据真正落到磁盘前操作系统会把数据缓存起来。设置为no会提高性能,你是不是当server崩溃或者机器...
Zookeeper的可靠性是怎么保证的?
yiwanxingchena的专栏
09-12 1211
技术选型的时候,如果你选Zookeeper,那么肯定要回答一个问题,Zookeeper可靠吗? 1.Zookeeper是什么? 2.Zookeeper的工作原理是什么? 3.Zookeeper怎样保证可靠?     可靠性一般是由两点来保证,一个是冗余,另一个是故障转移。那Zookeeper是怎么做的呢?
zookeeper error -110
最新发布
05-09
ZooKeeper错误代码-110通常表示连接超时或会话超时。这意味着客户端无法在指定的时间内与ZooKeeper服务器建立连接或会话已超时。连接超时通常是由于网络问题引起的,例如高网络延迟或网络拥塞。会话超时则可能是由于客户端与服务器之间的网络通信出现问题或者ZooKeeper服务器负载过重引起的。如果这个错误持续出现,可以考虑增加ZooKeeper服务器的数量或者检查网络连接是否稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值