【安全问题】ZooKeeper未授权访问-zookeeper存在未授权访问漏洞

修复办法一(推荐指定IP白名单):
1. 找到目录 zkCli.sh文件目录

find / -name zkCli.sh
2. 进入目录

cd /opt/zookeeper-3.4.12/bin/
3. 登录zk
./zkCli.sh  -server zkip:zk端口
4. 查看当前权限:
getAcl /
5、添加可访问IP
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
6、查看当前访问ip权限

未授权也可以连接,但是查看节点时会报错"KeeperErrorCode = NoAuth for /",localhost都不行,必须填可访问IP,才能访问。

 

回退办法:
1.  使用之前设置的IP进行访问:(如果未使用设置的ip进行访问只能查看,修改会报未授权错误)

./zkCli.sh  -server zkip:zk端口

设置为所有人可访问:
setAcl / world:anyone:cdrwa

ZK的节点有5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限

身份的认证有4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证

 

 

修复办法二:

配置防火墙策略,只允许指定IP访问2181端口。
Linux 6:

 
  1. iptables -I INPUT -p tcp --dport 2181 -j DROP

  2. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  3. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  4. iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT

  5. service iptables save

  6. service iptables restart

  7. iptables -L

Linux 7:

 
  1. firewall-cmd --zone=public --remove-port=2181/tcp --permanent

  2. firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"

  3. firewall-cmd --reload

  4. firewall-cmd --list-all

 

修复办法三(需要改程序):
1)增加一个认证用户
addauth digest 用户名:密码明文
eg. addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path

//-------------setAcl /path digest:用户名:密码密文:权限   //注:这里的加密规则是SHA1加密,然后base64编码。

 

为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户
addauth digest 用户名user1:密码明文password1

addauth digest user1:password1 

2)设置权限
setAcl /path auth:用户名user1:密码明文password1:权限
setAcl /path digest:用户名user1:密码密文xxxx:权限

setAcl /test auth:user1:password1:cdrwa 

3)查看Acl设置

getAcl /path 

 

你可能感兴趣的:(zookeeper,zookeeper)