zookeeper在centos上如何安全设置

1. 调整配置文件与目录权限

确保Zookeeper配置文件（如zoo.cfg）及数据、日志目录的权限正确，防止未授权访问。

• 配置文件权限：将zoo.cfg的所有者设为zookeeper用户，权限设为644（仅所有者可写）。

  sudo chown zookeeper:zookeeper /path/to/zoo.cfg
  sudo chmod 644 /path/to/zoo.cfg
  

• 数据与日志目录权限：递归修改Zookeeper数据目录（dataDir）和日志目录（logDir）的所有者为zookeeper，权限设为750（所有者可读写执行，组用户可读执行，其他用户无权限）。

  sudo chown -R zookeeper:zookeeper /path/to/dataDir
  sudo chmod -R 750 /path/to/dataDir
  sudo chown -R zookeeper:zookeeper /path/to/logDir
  sudo chmod -R 750 /path/to/logDir
  

2. 配置SELinux（若开启）

若系统启用SELinux，需调整策略以允许Zookeeper访问所需资源。

• 临时禁用（测试用）：

  sudo setenforce 0
  

• 永久禁用：编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled，重启系统生效。

3. 启用ACL（访问控制列表）

通过ACL限制节点访问权限，确保只有授权用户可操作特定路径。

• 添加用户认证：使用zkCli.sh工具添加用户（如user1），并设置密码。

  ./zkCli.sh -server localhost:2181
  addauth digest user1:password1
  

• 设置节点ACL：为根节点或其他关键节点设置ACL，例如：
  • 根节点允许user1读写执行（rwcda），其他用户只读（r）：

    setAcl / digest:user1:password1:rwcda world:anyone:r
    

  • /configs节点仅允许admin用户管理（cdrwa）：

    setAcl /configs digest:admin:admin_secret:cdrwa
    

4. 配置认证机制（SASL/Kerberos）

使用SASL（推荐）或Kerberos实现客户端身份验证，防止非法连接。

• SASL配置步骤：
  1. 创建JAAS配置文件（如/etc/zookeeper/conf/zookeeper_jaas.conf），定义用户凭证：

     Server {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       user_super="super_secret"
       user_admin="admin_secret";
     };
     Client {
       org.apache.zookeeper.server.auth.DigestLoginModule required;
     };
     

  2. 修改zoo.cfg，启用SASL认证：

     authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
     requireClientAuthScheme=sasl
     jaasLoginRenew=3600000
     

  3. 重启Zookeeper服务使配置生效：

     sudo systemctl restart zookeeper
     

• 客户端连接认证：使用addauth命令提供认证信息：

  ./zkCli.sh -server localhost:2181
  addauth digest super_super:super_secret
  

5. 启用SSL/TLS加密通信

加密客户端与服务器间的数据传输，防止中间人攻击。

• 生成SSL证书：使用OpenSSL生成自签名证书（生产环境建议使用CA签发证书）。

  openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pki/tls/private/zookeeper.key -out /etc/pki/tls/certs/zookeeper.crt
  

• 配置Zookeeper使用SSL：修改zoo.cfg，指定证书路径并启用客户端认证：

  ssl.keystore.location=/etc/pki/tls/certs/zookeeper.jks
  ssl.keystore.password=zookeeper
  ssl.truststore.location=/etc/pki/tls/certs/zookeeper.jks
  ssl.truststore.password=zookeeper
  ssl.clientAuth=need
  

6. 配置防火墙规则

限制仅允许可信IP访问Zookeeper端口（默认2181为客户端端口，2888/3888为集群通信端口）。

• 使用firewalld：

  sudo firewall-cmd --permanent --zone=public --add-port=2181/tcp  # 客户端端口
  sudo firewall-cmd --permanent --zone=public --add-port=2888/tcp  # 集群端口
  sudo firewall-cmd --permanent --zone=public --add-port=3888/tcp  # 集群端口
  sudo firewall-cmd --reload
  

• 使用iptables（可选）：

  sudo iptables -A INPUT -p tcp --dport 2181 -s trusted_ip -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 2181 -j DROP
  

7. 定期升级与监控

• 升级Zookeeper：定期检查Apache Zookeeper官网，升级到最新稳定版本，修复已知漏洞。
• 监控与日志：启用Zookeeper审计日志（通过log4j.properties配置），记录节点访问、操作等信息；使用Prometheus+Granafa等工具监控集群状态（如CPU、内存、连接数），及时发现异常。