ubuntu上zookeeper的安全设置怎么做 - 问答

Ubuntu上Zookeeper安全设置指南

使用ufw（Uncomplicated Firewall）限制对Zookeeper端口的访问，仅允许可信IP连接。

启用防火墙：sudo ufw enable
允许SSH（确保远程管理安全）：sudo ufw allow OpenSSH
限制Zookeeper客户端端口（默认2181）：仅允许可信IP（如192.168.1.0/24）访问，或拒绝其他所有IP：
```
sudo ufw allow from 192.168.1.0/24 to any port 2181  # 允许指定网段
sudo ufw deny 2181  # 拒绝其他所有IP
```
检查防火墙状态：sudo ufw status verbose

通过ACL定义节点级别的权限（创建、读取、写入、删除、管理等），常用机制包括world（任何人）、auth（已认证用户）、digest（用户名/密码）。

启用ACL：编辑/etc/zookeeper/conf/zoo.cfg，添加：

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthSchemes=sasl

通过SASL（支持Kerberos）实现强身份认证，适用于生产环境。

配置JAAS文件（/etc/zookeeper/conf/zookeeper_jaas.conf）：

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_super="super_secret_password"
    user_admin="admin_password";
};

修改zoo.cfg启用JAAS：

jaasLoginRenew=3600000  # 认证刷新间隔（毫秒）

加密Zookeeper客户端与服务器之间的通信，防止数据泄露。

生成SSL证书（使用keytool）：

mkdir -p /etc/zookeeper/ssl
keytool -genkey -alias zookeeper -keyalg RSA -keysize 2048 -keystore /etc/zookeeper/ssl/zookeeper.jks -validity 3650

配置zoo.cfg启用SSL：

ssl.enable=true
ssl.keystore.location=/etc/zookeeper/ssl/zookeeper.jks
ssl.keystore.password=your_keystore_password
ssl.keyPassword=your_key_password

若通过SSH管理Zookeeper服务器，需强化SSH配置：

编辑/etc/ssh/sshd_config：

PermitRootLogin no  # 禁止root直接远程登录
PasswordAuthentication no  # 禁用密码认证（使用密钥）
AllowUsers your_username  # 仅允许指定用户登录

0 赞

0 踩