Zookeeper在Ubuntu上的安全设置方法

以下是Zookeeper在Ubuntu上的安全设置方法：

1. 配置防火墙

   • 安装并启用ufw，限制仅允许必要IP访问Zookeeper端口（默认2181）：

     sudo ufw enable  
     sudo ufw allow from <允许的IP> to any port 2181  
     sudo ufw deny 2181  # 拒绝其他IP访问  
     sudo ufw status  # 检查状态  
     

2. 启用认证机制

   • 简单认证（用户名/密码）
     编辑/etc/zookeeper/conf/zoo.cfg，添加：

     authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider  
     jaasLoginRenew=3600000  
     

     创建JAAS配置文件/etc/zookeeper/conf/zookeeper_jaas.conf，指定用户凭证（如Kerberos或明文密码）。
   • ACL权限控制
     通过zkCli.sh设置节点ACL规则，例如：

     setAcl /path world:anyone:r  # 允许所有人读  
     setAcl /path user1:password:cdrwa  # 允许特定用户读写等权限  
     

3. 加密通信

   • 生成SSL证书并配置zoo.cfg：

     ssl.enable=true  
     ssl.keystore.location=/path/to/keystore.jks  
     ssl.keystore.password=your_password  
     

     重启服务使配置生效。

4. 用户权限管理

   • 创建专用Zookeeper用户并限制其权限：

     sudo useradd -m -d /opt/zookeeper zookeeper  
     sudo chown -R zookeeper:zookeeper /opt/zookeeper  
     

5. 安全审计与监控

   • 启用Zookeeper日志记录，定期分析访问日志；使用监控工具（如Prometheus）跟踪服务状态。

6. 定期更新与维护

   • 定期升级Zookeeper版本，修复安全漏洞；检查配置文件权限，确保敏感信息（如密码）不被泄露。