暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / ZooKeeper设置ACL权限控制-增加访问ip白名单

ZooKeeper设置ACL权限控制-增加访问ip白名单

IT运维大爆炸 2023-03-28
2435

1、简介

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。

zookeeper 未授权访问是指安装部署之后默认情况下不需要任何身份验证,从而导致 zookeeper 被远程利用,导致大量服务级别的信息泄露。

默认使用端口:2181、2182。

2、探测Zookeeper服务开放

如使用nmap探测某个目标地址是否运行Zookeeper服务,探测2181端口开放。

[root@10-60-249-255 ~]# nmap -Pn -p 2181 xx.xx.xx.xx
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-21 01:56 EDT
Nmap scan report for xx.xx.xx.xx.static.sz.js.chinamobile.com (xx.xx.xx.xx)
Host is up (0.016s latency).

PORT     STATE SERVICE
2181/tcp open  eforward

Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds

3、查看服务配置的详细信息

[root@10-60-249-255 ~]# echo conf | nc xx.xx.xx.xx 2181
clientPort=2171
dataDir=/opt/data/zookeeper/data/version-2
dataLogDir=/opt/data/zookeeper/data/version-2
tickTime=2000
maxClientCnxns=0
minSessionTimeout=4000
maxSessionTimeout=40000
serverId=0

4、列出所有连接到当前服务器的客户端/会话的详细信息

[root@10-60-249-255 ~]# echo cons | nc xx.xx.xx.xx 2181 | more
/10.23.46.40:11958[1](queued=0,recved=27317,sent=27317,sid=0x1000000e029b16e,lop=PING,est=1571277639586,to=40000,lcxid=0x33,lzxid=0x286a720,lresp=2435779043,llat=0,minlat=0,avglat=0,maxlat=397)
/10.23.46.39:9688[1](queued=0,recved=27316,sent=27316,sid=0x1000000e029b17c,lop=PING,est=1571277641790,to=40000,lcxid=0x33,lzxid=0x286a71c,lresp=2435777895,llat=0,minlat=0,avglat=0,maxlat=560)

5、ZK的节点有5种操作权限

CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda。

6、登陆zookeeper

进入zookeeper安装目录下的bin目录下执行。

[root@10-60-249-255 ~]# ./zkCli.sh -server ip:port

#例如:
[root@10-60-249-255 ~]# ./zkCli.sh -server 192.168.21.1.111:2181

7、查看当前权限

[root@10-60-249-255 ~]# getAcl

8、添加可访问IP

[root@10-60-249-255 ~]# setAcl  ip:192.168.1.112:cdrwa,ip:192.168.1.113:cdrwa,ip:127.0.0.1:cdrwa

注:

1.在设置IP白名单时,将本机ip 127.0.0.1也加上,让本机也可以访问及修改。2.在第一次添加完ip白名单后,又想继续添加白名单,则在设置的时候,以前的ip也都是写在命令里,不然以前添加的都会被覆盖掉,那就坑了。

9、查看是否正常添加

[root@10-60-249-255 ~]# getAcl /

10、如果要恢复所有ip皆可访问,则执行

[root@10-60-249-255 ~]# setAcl / world:anyone:cdrwa

欢迎大家扫码关注:

本公众号只写原创,不接广告、不接广告、不接广告。下期小伙伴想学习什么技术,可以私信发我吆。



zookeepernmapxxacl
文章转载自IT运维大爆炸,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论