开启zookeeper的安全认证功能,并配置kafka对zookeeper的身份验证

最新推荐文章于 2024-05-01 08:50:23 发布
最新推荐文章于 2024-05-01 08:50:23 发布
阅读量2.9w 收藏 57
点赞数 12
分类专栏: 中间件 文章标签: linux mysql flink
原文链接:https://www.agileand.me/kafka-zookeeper-authentication.html
版权

目录

1-- 为啥需要开启zookeeper认证

2-- 如何开启zookeeper认证

2.1-- 修改文件 zoo.cfg, 开启认证功能

2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf)

2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root

2.4-- 更新zookeeper的JVM flags

2.5-- 重启zookeeper实例(node or pod)

3-- 如何配置kafka对zookeeper的身份认证

3.1-- 开启kafka上的zookeeper的认证。 创建 jass.conf文件(以/etc/kafka/jass.conf为例),密码是刚刚在启动zookeeper认证(/etc/zookeeper/jass.conf)时候配置的

3.2-- 设置3.1的文件jass.conf的权限

3.3-- 更新kafka 的 jvm options

3.4-- 重启所有的brokers

3.5-- 执行ACL迁移

3.6-- 配置kafka使用zookeeper的ACL

3.7-- 重启所有的brokers

3.8-- 确认zookeeper的数据

1-- 为啥需要开启zookeeper认证

kafka使用zookeeper来存储元数据,其中包括了ACL。默认的情况下,任何可以访问网络的人,都可以访问zookeeper,这意味着任何人可以:

  • 通过修改配置ACL来升级特权
  • 通过恶意修改zookeeper的元数据,来使得kafka集群收到污染,崩溃
  • 开启认证后,可以阻止恶意修改,同事不妨碍正常访问zookeeper服务

2-- 如何开启zookeeper认证

以下步骤需要在所有的zookeeper的实例(node or pod)执行

2.1-- 修改文件 zoo.cfg, 开启认证功能

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider  #开启认证功能
requireClientAuthScheme=sasl   #认证方式为sasl
jaasLoginRenew=3600000

2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf)

        以定义两个用户 admin和 kafka为例

Server {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  user_admin="password"
  user_kafka="password";
};

注意,配置项最后必须添加分号 " ; "

2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root

sudo chown root:zkp /etc/zookeeper/jaas.conf
sudo chmod 640 /etc/zookeeper/jaas.conf

2.4-- 更新zookeeper的JVM flags

将jaas的配置文件位置作为JVM参数传递给每个客户端的JVM,不同的安装方式有不同的jvmflags名字,例如jvm_opts,请查看zookeeper的启动脚本(startup script).以jvmflags为例

JVMFLAGS="-Djava.security.auth.login.config=/etc/zookeeper/jaas.conf -Dzookeeper.allowSaslFailedClients=false"

2.5-- 重启zookeeper实例(node or pod)

3-- 如何配置kafka对zookeeper的身份认证

以下操作,需要在每个broker中执行

3.1-- 开启kafka上的zookeeper的认证。 创建 jass.conf文件(以/etc/kafka/jass.conf为例),密码是刚刚在启动zookeeper认证(/etc/zookeeper/jass.conf)时候配置的

ZkClient {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  username="kafka"
  password=“password";
};

3.2-- 设置3.1的文件jass.conf的权限

同样假设 kafka的拥有者叫 kfk,组是 root

sudo chown root:kafka /etc/kafka/jaas.conf
sudo chown 640 /etc/kafka/jaas.conf

3.3-- 更新kafka 的 jvm options

KAFKA_JVM_PERFORMANCE_OPTS=... -Dzookeeper.sasl.client=true -Dzookeeper.sasl.clientconfig=ZkClient -Dzookeeper.sasl.client.username=kafka -Djava.security.auth.login.config=/etc/kafka/jaas.conf

'...'是任何现有的设置选项

3.4-- 重启所有的brokers

3.5-- 执行ACL迁移

正常的执行完3.4后,kafka会有一个 zookeeper-security-migration.sh的脚本,执行这个脚本可以更新kafka数据中的zookeeper的 ACL

假设 kakfa的安装bin路径为 /opt/kafka/bin, zookeeper.connect 是你zookeeper的链接(主机名或服务名)

sudo KAFKA_OPTS="-Dzookeeper.sasl.client=true -Dzookeeper.sasl.clientconfig=ZkClient -Dzookeeper.sasl.client.username=kafka -Djava.security.auth.login.config=/etc/kafka/jaas.conf" \
  /opt/kafka/bin/zookeeper-security-migration.sh --zookeeper.acl secure --zookeeper.connect zookeeper00-internal.prod

3.6-- 配置kafka使用zookeeper的ACL

zookeeper.set.acl=true

3.7-- 重启所有的brokers

3.8-- 确认zookeeper的数据

使用zookeeper cli确认已有 ACL 集

[zk: localhost:2181(CONNECTED) 5] getAcl /config
'world,'anyone
: r
'digest,'kafka
: cdrwa

zk的权限详解可以看这篇 zookeeper的权限控制 - 天宇轩-王 - 博客园

我这里是 /config 这个目录的 acl情况是

'world','anyone' : r   - - 指的是 所有人 对 /config这个目录有 r(读取)的权限

'digest', 'kafka' : cdrwa -- 指的是,开启用户认证的用户 kafka,对目录 /config,具有

  • CREATE(c): 创建权限,可以在在当前node下创建child node
  • DELETE(d): 删除权限,可以删除当前的node
  • READ(r): 读权限,可以获取当前node的数据,可以list当前node所有的child nodes
  • WRITE(w): 写权限,可以向当前node写数据
  • ADMIN(a): 管理权限,可以设置当前node的permission

这5种权限简写为cdrwa,注意:这5种权限中,delete是指对子节点的删除权限,其它4种
权限指对自身节点的操作权限

如图所示,此时配置成功。配置成功后,kaka在链接zookeeper的 时候进行身份验证,kafka保存到zookeeper的数据也执行由zookeeper中的kafka用户(由步骤2.2和3.1定义,此例为kafka)修改

匿名用户仍然可以连接查看不受ACL保护的数据,这样看来虽然安全性不是很好,但是还是可以防止kafka数据不受污染。

4-- 我在实战的使用

    应用(zookeeper,kafka)运行在容器中(docker + k8s)

   4.1-- zookeeper的配置

      step 1 :zoo.cfg文件新增

quorum.auth.enableSasl=true   # 开启sasl开关
quorum.auth.learnerRequireSasl=true  # zk作为learner的时候,会发送认证消息
quorum.auth.serverRequireSasl=true   # zk作为server,learner链接的时候,需要发送认证消息
quorum.auth.learner.loginContext=QuorumLearner  # JAAS配置中 context的名字
quorum.auth.server.loginContext=QuorumServer    # JAAS配置中 context的名字
quorum.cnxn.threads.size=20          # 建议设置为 zk 节点数量 乘以 2

​
requireClientAuthScheme=sasl
authProvider.<IdOfBroker1>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider # IdOfBroker是指ZK节点的myid
authProvider.<IdOfBroker2>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
authProvider.<IdOfBroker3>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider

     step 2: 新增配置文件 JAAS, 内容是 用户名和密码。

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
	    user_super="123456"  # 格式是 user_用户名=密码
	    user_kafka="123456"
	    user_someoneelse="123456";

};

QuorumServer {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       user_zookeeper="123456";
};

QuorumLearner {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       username="zookeeper"  
       password="123456";
};

    step 3 : bin/zkEnv.sh 添加 jvm 选项 (即告知jaas的路径), 我直接在dockerfile中将jaas 文件 copy到 容器路径 "/opt/zookeeper/conf/jaas.conf" 。 SERVER_JVMFLAGS这个名字还是要到 bin/zkServer.sh中确认是否正确, 因为可能以后的kafka 迭代版本后, 这个变量名字会更改

SERVER_JVMFLAGS="-Djava.security.auth.login.config=/opt/zookeeper/conf/jaas.conf"

    step 4 : 再修改zoo.cfg

requireClientAuthScheme=sasl
authProvider.<IdOfBroker1>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
authProvider.<IdOfBroker2>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
authProvider.<IdOfBroker3>=org.apache.zookeeper.server.auth.SASLAuthenticationProvider

  4.2-- kafka的配置

   step 1: 在config/server.properties 新增配置

zookeeper.set.acl=true  # 开启 ACL名单

  step 2: 新增配置文件 JAAS,新增用户和密码,注意 用户名和密码 需要和 zk的JAAS配置文件保持一致 。我是在dockerfile中将 jaas 拷贝copy到容器中

Client {
    org.apache.kafka.common.security.plain.PlainLoginModule required
	username="kafka"
	password="123456";

};

  step 3:kafka启动时 告诉它在哪里读取jaas文件, 我是直接在k8s的 yaml文件中配置,你也可以在 kafka的bin/kafka-run-class.sh 添加的

KAFKA_OPTS="-Djava.security.auth.login.config=./config/jaas.conf"  #jaas文件的路径

参考文档:Apache Kafka ZooKeeper authentication

龟速扣代码
关注
  • 12
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
kafka配置文件zookeeper参数.md
03-11
kafka配置文件zookeeper参数.md
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
最新发布
2401_84302369的博客
05-01 1258
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf配置文件给producer程序使用。
开启kerberos下的kafka
不二先生的笔记
07-13 755
1修改Kafka配置 1.1在Kafka配置项搜索“security.inter.broker.protocol”,设置为SALS_PLAINTEXT 1.2在Kafka配置项搜索“ssl.client.auth”,设置为none 2.创建配置文件 2.1创建jaas.conf文件 vim /var/lib/kafka/jaas.conf KafkaClient { com.sun.security.auth.module.Krb5LoginModule required use.
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 1880
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
SpringBoot项目连接,有Kerberos认证Kafka
weixin_50737119的博客
11-23 1198
本文章用于快速使用java程序,连接到有Kerberos认证Kafka,并监听到消息
Zookeeper & Kafka 开启安全认证配置
IT布道
08-10 8441
Zookeeper&Kafka 安全认证
kafka认证搭建
快乐的小豆子的专栏
01-24 2407
kafkazookeeper安装 下载响应包,进行解压 新建jass.confzookeeperkafka都需要用到 分别将该文件复制到zookeeperkafka相应配置文件同级 KafkaServer{ org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="ss" user_admin="ss" user_reader="reader" user_writer=
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6715
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
Zookeeper使用
qq_47387991的博客
03-15 4490
ZooKeeper是一个集中的服务,用于维护配置信息、命名、提供分布式同步和提供组服务。所有这些类型的服务都以某种形式被分布式应用程序使用。每次它们被实现时,都会有大量的工作来修复不可避免的错误和竞争条件。由于实现这些服务的困难,应用程序最初通常会略过这些服务,这使得它们在出现更改时变得脆弱,并且难以管理。即使正确地执行了这些服务,在部署应用程序时,这些服务的不同实现也会导致管理复杂性。
hadoop生态的kerberos认证系列1-zookeeper
tiki的博客
12-17 1455
hadoop生态的kerberos认证一、zookeeper1.准备工作2.配置2.1创建服务端用户2.2导出凭证:2.3修改zookeeper配置文件2.4生成jaas.conf文件2.5创建client的priincipal并导出2.6配置client-jaas.conf文件3.验证zk的kerberos 一、zookeeper 1.准备工作 停掉hadoop集群; 安装好kerberos认证服务; 2.配置 节点名为node,本文以单节点为例说明,集群一般也差不多,只要配置文件统一、凭证区分开即可(
bitnami版本的zookeeperkafka的docker-compose配置
02-15
通过指定镜像、端口映射、环境变量和依赖关系等配置,实现了ZookeeperKafka的快速部署和集成。同时,在定义了一个名为"mynetwork"的网络来连接这些服务,确保它们可以相互通信。整体而言,这个Docker Compose 文件...
Zookeeperkafka的安装和配置1
08-08
安装和配置kafka:1 vim config/ server.properties2 数字改成zookeeper对应的myid数字3 是本机ip,端口不要改4
Zookeeper3.7与3.8加kafka2.12-3.1.0
04-14
ZooKeeper是一个开放源码的分布式应用程序协调服务,它包含一个简单的原语集,分布式应用程序可以基于它实现同步服务,配置维护和命名服务等。 Kafka目前主要作为一个分布式的发布订阅式的消息系统使用 本资源包括...
Zookeeper+kafka搭建+验证
qq_41584510的博客
03-24 477
一. Zookeeper主要用来协调kafka的各个Broker,不仅实现Broker的负载均衡,而且增加了Broker或者某个Broker故障了,Zookeeper将会通知生产者和消费者,这可以保证整个系统正常运转。 二.JDK配置 1. Zookeeperkafka都依赖于JDK因此首先需要在服务器上安装JDK,在官网下载或者百度下载JDK8.linux版本的压缩包。 2. 将下载好的压缩到...
JAAS:灵活的Java安全机制(3)
三V工作室·泰伯子仪
07-18 1539
 配置文件  上面我已经提到,JAAS的可扩展性来源于它能够进行动态配置,而配置信息通常是保存在文本。这些文本文件有很多个配置块构成,我们通常把这些配置块称作申请(Application)。每个申请对应了一个或多个特定的LoginModule对象。  当你的代码构造一个LoginContext对象时,你需要把配置文件中申请的名称传递给它。LoginContext将会根据申请中的信息决定激活哪些Lo
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 4651
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Zookeeper kafka集群 密码认证
m0_62999427的博客
03-19 1828
zookeeper kafka kafka可视化
zookeeper配置安全认证
11-24
以下是zookeeper配置安全认证的步骤: 1.下载并解压zookeeperkafka,进入zookeeperconf目录,创建jaas文件,添加如下内容: ```shell Server { org.apache.zookeeper.server.auth.DigestLoginModule required user_admin="admin-password" user_user1="user1-password"; }; ``` 其中,user_admin和user_user1是用户名,admin-password和user1-password是对应的密码。 2.修改zookeeper配置文件zoo.cfg,添加如下内容: ```shell authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider requireClientAuthScheme=sasl jaasLoginRenew=3600000 ``` 3.进入kafkaconfig目录,修改server.properties文件,添加如下内容: ```shell listeners=SASL_PLAINTEXT://:9092 sasl.mechanism.inter.broker.protocol=PLAIN sasl.enabled.mechanisms=PLAIN security.inter.broker.protocol=SASL_PLAINTEXT sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \ username="admin" \ password="admin-password"; ``` 其中,username是zookeeper中的用户名,password是对应的密码。 4.重启zookeeperkafka
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值