Linux系统中Zookeeper的安全机制有哪些

Zookeeper在Linux环境中的安全机制

一 身份与访问控制

• ACL 访问控制列表：按 znode 维度控制访问，采用 scheme:id:permission 三元组。常用 scheme 包括 world、ip、auth、digest；权限集合为 CREATE、READ、WRITE、DELETE、ADMIN（crwda）。注意：ACL 不继承，子节点需单独设置；znode 状态中保存 ACL 信息。示例：setAcl /app digest:alice:BASE64(SHA1(alice:pwd)):crwda。
• 可插拔认证与 Super：支持 JAAS + SASL（如 DIGEST-MD5）用于客户端与服务端、以及服务器间（Quorum）认证；可注册自定义 AuthenticationProvider。存在 Super 超级用户用于紧急全权操作（应严格保护凭据）。
• 常用命令：getAcl path、setAcl path acl、addauth scheme auth（如 addauth digest user:pwd）。

二 传输与数据保护

• 传输加密 TLS/SSL：启用 secureClientPort（如 2281）并配置 keyStore/trustStore 等参数，对客户端与服务端通信进行加密，防止窃听与篡改。
• 数据静态加密：对敏感数据在客户端侧加密后写入，服务端不解密；或在存储层实施加密（取决于部署形态与合规要求）。

三 网络安全与运行环境加固

• 防火墙与端口最小化：仅开放必要端口（如客户端端口 2181、集群通信端口 3888），使用 IP 白名单 限制来源；示例（firewalld）：
  • 允许本地访问：firewall-cmd --permanent --zone=trusted --add-source=127.0.0.1 --add-port=2181/tcp
  • 允许特定 IP：firewall-cmd --permanent --zone=trusted --add-source=192.168.1.100 --add-port=2181/tcp
  • 重载规则：firewall-cmd --reload
• 系统加固：及时更新补丁、最小化服务与特性、保护配置文件与密钥（keystore/truststore）权限、必要时更改默认端口、实施备份与监控告警。

四 审计与运维安全

• 审计与日志：启用审计日志/访问日志，记录关键操作与异常行为，便于合规与溯源。
• 监控与告警：对会话、连接数、延迟、异常访问等进行实时监控与告警，缩短故障与入侵发现时间。
• 版本与配置治理：保持 Zookeeper 版本与依赖库的安全更新，遵循安全基线与最小权限原则。

五 快速配置示例

• TLS/SSL 最小配置（zoo.cfg）：
  • secureClientPort=2281
  • zookeeper.ssl.keyStore.location=/path/to/keystore
  • zookeeper.ssl.keyStore.password=keystore_password
  • zookeeper.ssl.trustStore.location=/path/to/truststore
  • zookeeper.ssl.trustStore.password=truststore_password
• SASL/DIGEST-MD5（JAAS 与 zoo.cfg 片段）：
  • JAAS（示例）：
    • QuorumServer { org.apache.zookeeper.server.auth.DigestLoginModule required user_zookeeper=“123456”; };
    • QuorumLearner { org.apache.zookeeper.server.auth.DigestLoginModule required username=“zookeeper” password=“123456”; };
  • 启动参数：-Djava.security.auth.login.config=/opt/zk/conf/jaas.conf
  • zoo.cfg：
    • quorum.auth.enableSasl=true
    • quorum.auth.learnerRequireSasl=true、quorum.auth.serverRequireSasl=true
    • quorum.auth.learner.loginContext=QuorumLearner、quorum.auth.server.loginContext=QuorumServer
    • requireClientAuthScheme=sasl
    • authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
• ACL 示例：
  • 生成摘要：java -cp zookeeper.jar org.apache.zookeeper.server.auth.DigestAuthenticationProvider.generateDigest alice:password
  • 设置 ACL：setAcl /app digest:alice:ABASE64(SHA1(alice:password)):crwda
  • 会话认证：addauth digest alice:password