Debian上Zookeeper权限管理技巧

Debian 上 Zookeeper 权限管理技巧

一 系统与服务账户权限

• 安装与基础配置：使用 APT 安装后，核对关键配置与目录权限，确保服务以最小权限账户运行。
  • 安装：sudo apt update && sudo apt install zookeeper zookeeperd
  • 配置示例（/etc/zookeeper/conf/zoo.cfg）：
    • tickTime=2000
    • dataDir=/var/lib/zookeeper
    • clientPort=2181
  • 目录与所有权：
    • sudo mkdir -p /var/lib/zookeeper /var/log/zookeeper
    • sudo chown -R zookeeper:zookeeper /var/lib/zookeeper /var/log/zookeeper
    • sudo chmod -R 750 /var/lib/zookeeper /var/log/zookeeper
  • 服务账户：在 /etc/default/zookeeper 中设置 ZOOKEEPER_USER=zookeeper，避免以 root 运行。
  • 防火墙：仅开放必要端口（如 2181/TCP）：sudo ufw allow 2181/tcp
  • 重启与自检：sudo systemctl restart zookeeper && sudo systemctl status zookeeper；健康检查可用 echo ruok | nc localhost 2181（返回 imok 表示就绪）。

二 基于 ACL 的细粒度授权

• 常用权限与标识
  • 权限集合：c（创建）、r（读）、w（写）、d（删除）、a（列子节点）、p（设置 ACL）。
  • 身份标识：常用 world:anyone（任意客户端）、auth（当前已认证会话）、以及 digest:用户名:BASE64(SHA1(用户名:口令))。
• zkCli 实操范式
  • 连接：/usr/share/zookeeper/bin/zkCli.sh -server localhost:2181
  • 创建测试节点：create /app "init"
  • 设置仅管理员完全控制：setAcl /app digest:admin:TPs1X3VtBy+JmW8Z1Y1X3VtBy+JmW8Z1Y=:cdrwa
  • 添加只读用户：setAcl /app world:anyone:r,digest:reader:rUO5xZ1Y1X3VtBy+JmW8Z1Y1X3VtBy+JmW8Z1Y=:r
  • 验证：getAcl /app；切换会话验证权限边界（只读用户尝试 set /app x 应被拒绝）。
• 批量与继承
  • 创建时一次性设置：create /svc "svc" digest:admin:TPs1X3VtBy+JmW8Z1Y1X3VtBy+JmW8Z1Y=:cdrwa
  • 子节点默认不继承父节点 ACL，需在创建子节点时显式 setAcl 或使用脚本/运维工具统一设置。
• 安全要点
  • 避免使用 world:anyone:cdrwa；生产环境建议仅对必要路径授予 r 或 rw，管理员保留 cdrwa。
  • 口令不要明文出现在命令行历史中；脚本中可使用变量或受控凭据注入。
  • 迁移/备份时同步校验 ACL，避免恢复后权限过宽或过严。

三 启用 SASL 与 JAAS 的身份认证

• 服务端开启 SASL
  • 在 zoo.cfg 增加：authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
  • 创建 JAAS 配置（如 /etc/zookeeper/jaas.conf）：
    • Server {
      • org.apache.zookeeper.server.auth.DigestLoginModule required
      • user_admin=“StrongPass!”
      • user_kafka=“KafkaPass!”;
    • };
  • 启动参数注入（/etc/default/zookeeper 或 systemd 服务 Environment）：
    • JAVA_OPTS="$JAVA_OPTS -Djava.security.auth.login.config=/etc/zookeeper/jaas.conf"
  • 文件权限：sudo chown zookeeper:zookeeper /etc/zookeeper/jaas.conf && sudo chmod 600 /etc/zookeeper/jaas.conf
• 客户端使用
  • zkCli 指定 JAAS：/usr/share/zookeeper/bin/zkCli.sh -server localhost:2181 -Djava.security.auth.login.config=/etc/zookeeper/jaas.conf
  • 应用侧（Kafka、自研服务）需在客户端配置相同的 SASL/Digest 身份与凭据，并在对应 znode 上设置匹配的 digest ACL。
• 适用场景
  • 多租户或跨网络访问时，SASL+Digest 比仅用 ACL 更可控，可结合网络边界策略实现“身份先行、权限其后”的纵深防御。

四 网络安全与运维加固

• 网络与端口
  • 仅在内网开放 2181/TCP，必要时限制来源网段；集群内部通信端口 2888/3888 同样应仅对集群节点开放。
  • 使用 ufw 或 nftables 实施白名单策略，避免暴露在公网。
• 加密与传输
  • 生产环境建议启用 SSL/TLS 对客户端与服务器通信加密，并配置到 zoo.cfg 的相应 SSL 参数（证书、密钥、协议与套件）。
• 系统与审计
  • 保持系统与软件包更新（sudo apt update && sudo apt upgrade），最小化安装，禁用不必要的服务与端口。
  • 集中采集与监控 /var/log/zookeeper/ 日志，结合审计与告警规则，及时发现异常访问与权限变更。