CentOS上Zookeeper的权限管理策略

CentOS上Zookeeper的权限管理策略

一 核心机制与权限模型

• 采用基于节点的ACL（Access Control List）进行授权，ACL由三元组构成：scheme:id:permissions。常用权限为：CREATE、READ、WRITE、DELETE、ADMIN（简写：cdrwa）。常用认证/授权模式包括：world（anyone）、auth（当前会话已认证用户）、digest（用户名:BASE64(SHA1(用户名:密码))）、ip（按来源IP）。注意：子节点不继承父节点ACL，需逐节点设置。紧急恢复可配置超级管理员（superDigest），绕过ACL校验，务必严格管控与审计。

二 本地与网络层安全加固

• 操作系统与目录权限：以专用系统用户（如zookeeper）运行ZooKeeper，配置文件（如zoo.cfg）、数据目录（如**/var/lib/zookeeper**）、日志目录（如**/var/log/zookeeper**）建议权限为750并归属zookeeper用户，避免其他用户读写。
• SELinux：若启用SELinux，先用setenforce 0切到Permissive模式验证，再基于审计日志用ausearch/audit2allow生成并加载自定义策略模块，确保ZooKeeper对相关目录与端口的访问合规。
• 防火墙：仅开放必要端口（默认客户端端口2181；集群通信端口2888/3888），示例：firewall-cmd --permanent --add-port=2181/tcp && firewall-cmd --reload。生产环境不建议对管理端口全网开放。

三 认证与ACL配置实践

• 快速上手（digest示例）
  1. 连接客户端：zkCli.sh -server localhost:2181
  2. 会话登录当前上下文：addauth digest zk:test
  3. 创建并赋权：create /test “data” digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:cdrwa
  4. 查看ACL：getAcl /test
  5. 仅查看/写入等细粒度赋权：setAcl /test digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:rw
     说明：digest条目中的密文为BASE64(SHA1(“zk:test”))。也可先建节点后 setAcl。
• 常用场景
  • IP白名单：setAcl /app ip:192.168.1.10:cdrwa（可按需增减多个ip条目）
  • 当前会话授权快捷写法：setAcl /app auth:admin:adminpwd:cdrwa（需先 addauth 相同凭据）
  • 超级管理员（应急）：在JVM启动参数加入
    -Dzookeeper.DigestAuthenticationProvider.superDigest=super:base64(SHA1(super:password))
    重启后可在紧急情况下对任意节点进行ACL修复（务必最小化分发该凭据并审计）。

四 常见故障排查与最佳实践

• 故障排查
  • 无权限/认证失败：确认当前会话已通过addauth登录且ACL中对应scheme:id与权限匹配；必要时用getAcl核对。
  • 启动/访问失败：检查配置文件、数据与日志目录的属主与权限（750，zookeeper:zookeeper）；若启用SELinux，先切Permissive定位是否为策略问题。
  • 客户端连不通：核对firewall-cmd已放行2181/2888/3888，以及监听地址与网络连通性。
• 最佳实践
  • 生产环境避免使用world:anyone:cdrwa，按“最小权限”原则为业务账号授予r/c/d/w/a中必要子集。
  • 对关键路径（如**/、业务根）设置强认证与审计，子节点按需细化；变更前先备份zoo.cfg**与ACL清单。
  • 启用SASL/Kerberos或SSL/TLS实现传输与身份强校验，与ACL形成纵深防御；仅开放必要端口并限制来源网段。