centos zookeeper安全如何保障 - 问答

CentOS 上保障 Zookeeper 安全的实用清单

一身份与访问控制

使用专用系统用户运行 Zookeeper（如创建用户与用户组zookeeper:zookeeper），并将配置、数据与日志目录的所有权赋予该用户，避免使用 root 直接运行。示例：chown -R zookeeper:zookeeper /var/lib/zookeeper /var/log/zookeeper。
配置ACL 访问控制：对关键 znode 设置基于digest或IP的访问控制；创建节点时直接设置 ACL，或后续用 setAcl 调整；必要时使用超级管理员 superDigest（谨慎保管）。示例：create /test data digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:cdrwa、setAcl /test1 digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:rw、getAcl /test、addauth digest zk:test、setAcl /test-node-ip ip:192.168.0.33:cdwra。
启用SASL/Kerberos强认证（生产推荐）：服务端开启 SASL，客户端以 SASL 凭证连接，实现用户级身份鉴别与授权联动。

二传输与网络防护

启用TLS/SSL 加密（生产推荐）：为客户端与服务端、以及集群节点间通信启用加密，防止明文嗅探与中间人攻击。
通过防火墙最小化暴露面：仅放通必要端口（默认客户端端口2181，集群通信端口2888/3888），并可按需变更默认端口以降低被扫描概率。示例：firewall-cmd --permanent --add-port=2181/tcp、firewall-cmd --permanent --add-port=2888/tcp、firewall-cmd --permanent --add-port=3888/tcp、firewall-cmd --reload。
限制客户端连接数与来源网段，避免资源耗尽与滥用。

三系统与文件安全

正确设置文件与目录权限：配置文件（如zoo.cfg）、数据目录（如dataDir）、日志目录仅对zookeeper用户可读写执行。示例：chown -R zookeeper:zookeeper /path && chmod -R 750 /path。
处理SELinux：优先通过自定义策略放行所需访问（如基于审计日志生成模块并加载）；如确需临时排障，可将 SELinux 设为Permissive模式验证，再恢复为 Enforcing 并固化策略。示例：setenforce 0、ausearch -c 'zookeeper' --raw | audit2allow -M zookeeper_selinux、semodule -i zookeeper_selinux.pp。
避免使用过时或不安全的 Java 版本，建议使用OpenJDK 8 及以上。

四运维与审计加固

五最小可用配置示例

目录与权限
- mkdir -p /var/lib/zookeeper /var/log/zookeeper
- chown -R zookeeper:zookeeper /var/lib/zookeeper /var/log/zookeeper
- chmod -R 750 /var/lib/zookeeper /var/log/zookeeper
防火墙
- firewall-cmd --permanent --add-port=2181/tcp
- firewall-cmd --permanent --add-port=2888/tcp
- firewall-cmd --permanent --add-port=3888/tcp
- firewall-cmd --reload
ACL 示例（在 zkCli 中）
- 创建并授权：create /app-config '{"env":"prod"}' digest:admin:base64digest:cdrwa
- 按 IP 授权：setAcl /app-config ip:192.168.1.0/24:cdwra
- 查看 ACL：getAcl /app-config
安全提示
- 生产环境建议同时启用SASL/Kerberos + TLS/SSL + ACL，并仅在内网或受控网络暴露服务。

0 赞

0 踩