1. 配置防火墙限制访问
使用ufw(Uncomplicated Firewall)限制对Zookeeper端口(默认2181)的访问,仅允许可信IP地址连接。例如,允许192.168.1.0/24网络访问2181端口,拒绝其他所有IP:
sudo ufw enable
sudo ufw allow from 192.168.1.0/24 to any port 2181
sudo ufw deny 2181
sudo ufw status verbose # 验证规则是否生效
此步骤可有效防止未经授权的IP访问Zookeeper服务。
2. 启用ACL(访问控制列表)实现细粒度权限管理
通过ACL控制用户对Zookeeper节点的访问权限(读、写、创建、删除等)。首先在zoo.cfg中启用SASL认证:
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
然后使用zkCli.sh工具创建用户、设置节点ACL。例如,为用户user1设置/path/to/node节点的读写权限:
# 连接到Zookeeper
zkCli.sh -server localhost:2181
# 创建用户(密码为user1_pass)
addauth digest user1 user1_pass
# 设置节点ACL(允许user1读写,其他用户只读)
setAcl /path/to/node digest:user1:user1_pass:cdrwa
setAcl /path/to/node world:anyone:r
通过getAcl /path/to/node命令可验证ACL规则是否生效。
3. 配置SSL/TLS加密通信
为防止数据传输被窃听或篡改,需启用SSL/TLS加密。首先生成密钥库(keystore):
mkdir -p /etc/zookeeper/ssl
keytool -genkey -alias zookeeper -keyalg RSA -keysize 2048 -keystore /etc/zookeeper/ssl/zookeeper.jks -validity 3650
然后在zoo.cfg中配置SSL参数:
ssl.enable=true
ssl.keystore.location=/etc/zookeeper/ssl/zookeeper.jks
ssl.keystore.password=your_keystore_password
ssl.keyPassword=your_key_password
重启Zookeeper服务使配置生效:
sudo systemctl restart zookeeper
客户端连接时需使用ssl://协议(如ssl://localhost:2181)。
4. 用户与文件权限管理
创建专用用户运行Zookeeper服务,限制其对系统资源的访问权限:
sudo useradd -m -d /opt/zookeeper -s /bin/false zookeeper
sudo chown -R zookeeper:zookeeper /var/lib/zookeeper /etc/zookeeper/conf
sudo chmod -R 750 /var/lib/zookeeper # 数据目录权限
sudo chmod 640 /etc/zookeeper/conf/zoo.cfg # 配置文件权限
确保Zookeeper进程以zookeeper用户身份运行(修改/etc/systemd/system/zookeeper.service中的User和Group参数)。
5. 监控与审计
启用Zookeeper日志记录(修改log4j.properties文件,设置log4j.logger.org.apache.zookeeper=INFO),定期分析日志以发现异常操作。使用监控工具(如Prometheus+Granafa)跟踪Zookeeper的状态(如连接数、请求延迟、节点健康状况),及时预警潜在安全问题。
6. 定期更新与维护
定期升级Zookeeper至最新稳定版本,修复已知安全漏洞。检查zoo.cfg配置文件的权限(确保仅为zookeeper用户可读),避免敏感信息(如密码)泄露。定期更换用户密码(如user1的密码),增强认证安全性。
