Zookeeper在Ubuntu上的权限管理策略

Zookeeper在Ubuntu上的权限管理策略

一 操作系统层安全

• 以专用系统用户运行：创建系统用户与组（如zookeeper），将服务以该用户身份运行，避免以root运行。示例：sudo adduser --system --group --no-create-home --home /var/lib/zookeeper zookeeper。随后在 systemd 服务单元中设置 User=zookeeper、Group=zookeeper 并 reload 与重启服务。
• 文件与目录权限：将配置目录与数据目录归属到 zookeeper:zookeeper，并设置最小权限。示例：chown -R zookeeper:zookeeper /etc/zookeeper/conf /var/lib/zookeeper；chmod 640 /etc/zookeeper/conf/zoo.cfg；chmod 750 /var/lib/zookeeper。
• 网络访问控制：仅开放必要端口（默认 2181/TCP）。如使用 ufw：sudo ufw allow 2181/tcp；如使用 firewalld：firewall-cmd --permanent --add-port=2181/tcp && firewall-cmd --reload。
• 安全模块：若启用 AppArmor/SELinux，为 Zookeeper 配置相应策略以允许访问数据/日志目录与端口，避免被策略阻断。

二 Zookeeper内部ACL与认证

• ACL模型与权限：Zookeeper 使用 ACL（Access Control List） 控制节点访问，权限位包括 c（create）/r（read）/w（write）/d（delete）/a（admin）。常见身份包括 world:anyone（任意客户端）与 digest:用户名:Base64(SHA1(用户名:密码))（基于摘要的身份）。
• 启用强认证（推荐）：在 zoo.cfg 中启用 SASL/Digest 认证，例如：authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider；jaasLoginRenew=3600000。创建 JAAS 配置（如 /etc/zookeeper/conf/zookeeper.jaas），示例：
  Server {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  user_super=“super_secret_password”
  user_admin=“admin_password”;
  };
  重启服务后，客户端需携带认证信息（如 zkCli.sh 中使用 -auth 或在代码中 addAuthInfo）。
• 设置与验证ACL：在 zkCli.sh 中，先完成认证（如 addauth digest admin:admin_password），再对目标节点设置 ACL，例如：setAcl /app digest:admin:Base64(SHA1(admin:admin_password)):cdrwa。验证时，未认证或权限不足的会话对受限操作应返回 NoAuth 或 AuthFailed。

三 最小权限实践与运维要点

• 最小权限设计：根节点 / 仅授予管理账户 cdrwa；业务节点按“只读/读写/管理”分级设置，避免使用 world:anyone:cdrwa 的宽松策略。
• 迁移与回滚：为存量数据设置 ACL 前，先在测试环境验证；对关键路径采用“先备份 znode 结构与数据，再批量设置 ACL，最后逐项验证”的流程。
• 客户端一致性：确保所有访问该集群的客户端统一完成身份认证并在会话生命周期内保持认证信息，避免因未认证导致操作失败。
• 审计与监控：开启访问日志与审计（如记录 setAcl/get/delete 等关键操作），结合监控告警对异常 ACL 变更与失败鉴权进行及时处置。
• 定期复核：定期审查 JAAS 用户口令强度、ACL 规则覆盖范围与系统层权限配置，及时回收不再使用的账户与权限。