Zookeeper在Linux中如何进行安全防护

Zookeeper在Linux中的安全防护实践

一 网络与端口加固

• 将服务置于内网/VPC，避免直接暴露在公网；必要时仅开放白名单来源。
• 仅放通必要端口：客户端端口2181，集群通信端口2888/3888；如使用加密端口，可新增2281并仅在内网开放。
• 使用firewalld/iptables设置IP白名单与端口限制，最小化暴露面。
• 可结合“修改默认端口”的做法降低被扫描概率，但更关键的是网络隔离与访问控制。

二 身份与访问控制

• 启用SASL/Digest认证：在 zoo.cfg 中配置
  authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
  jaasLoginPath=/etc/zookeeper/conf/zookeeper_jaas.conf
  创建 JAAS 文件定义用户口令，重启服务生效。
• 配置ACL细粒度授权：优先使用 digest 模式，命令示例
  addauth digest user1:password123
  create /example “data” -acl “digest:user1:cdrwa”
  常用权限：C(创建) R(读) W(写) D(删) A(管理ACL)。
• 结合IP或Kerberos等机制实现多因素控制，仅授予最小必要权限。

三 加密与传输安全

• 启用SSL/TLS加密通信：在 zoo.cfg 中配置
  ssl.keystore.location、ssl.keystore.password、ssl.truststore.location、ssl.truststore.password、ssl.clientAuth=need
  可新增secureClientPort=2281专供TLS连接，客户端使用TLS端口与证书访问。
• 证书与密钥妥善管控，限制文件权限，仅由zookeeper用户可读。

四 系统与运行安全

• 以非root专用用户运行：创建 zookeeper 用户与组，目录与文件属主设为 zookeeper，权限如750。
• 保护配置文件与目录：如 /etc/zookeeper/、/var/lib/zookeeper、/var/log/zookeeper 仅对属主可读写执行。
• 启用SELinux/AppArmor并适配策略，限制进程对系统资源的访问范围。
• 禁止不必要的服务与特性，保持最小化配置。

五 审计监控与运维

• 启用审计日志与系统审计（如 auditd），记录访问与配置变更，便于追溯。
• 持续监控与告警：关注会话数、延迟、异常连接与权限变更。
• 实施定期更新/补丁、配置备份与恢复演练，确保漏洞及时修复与快速回滚。