zookeeper的ACL列表介绍

# Zookeeper的ACL列表介绍

## 一、ACL概述

在分布式系统中，访问控制（Access Control）是保障数据安全的核心机制之一。Zookeeper作为分布式协调服务，通过**ACL（Access Control Lists）列表**实现对znode节点的权限管理。每个znode节点可绑定独立的ACL，定义不同用户或角色的操作权限。

### ACL核心要素
每个ACL条目由以下三部分组成：
1. **Scheme**：认证方式（如world、auth、digest等）
2. **ID**：授权对象标识
3. **Permission**：具体权限组合

## 二、ACL权限类型

Zookeeper定义了5种基础权限：

| 权限标识 | 说明                  | 操作范围                     |
|----------|-----------------------|------------------------------|
| `CREATE` | 创建子节点            | 仅对子节点有效               |
| `READ`   | 读取节点数据/列表      | 可执行`get`、`ls`等命令      |
| `WRITE`  | 修改节点数据           | 仅限数据内容，不含权限修改   |
| `DELETE` | 删除子节点            | 需配合`CREATE`权限使用       |
| `ADMIN`  | 设置ACL权限           | 可修改节点访问控制列表       |

> 注：`ALL`表示全部权限（`CREATE|READ|WRITE|DELETE|ADMIN`）

## 三、Scheme认证方案

### 1. world方案
默认方案，所有客户端拥有相同权限：
```bash
# 示例：任何人都可读写
setAcl /path world:anyone:rw

2. auth方案

认证用户专用，无需显式指定ID：

# 先添加认证用户
addauth digest username:password
# 设置权限
setAcl /path auth:user:crw

3. digest方案

基于用户名密码的加密认证：

# 生成密文（SHA1加密）
echo -n username:password | openssl dgst -binary -sha1 | base64
# 设置ACL
setAcl /path digest:username:密文:rwcda

4. ip方案

通过IP地址限制访问：

setAcl /path ip:192.168.1.100:r

5. x509方案

基于SSL/TLS客户端证书认证（企业版支持）

四、ACL操作实践

查看节点ACL

getAcl /your/path

设置自定义ACL

# 创建digest认证
addauth digest user1:password123
# 设置读写权限
setAcl /test digest:user1:加密串:rw

递归设置ACL

# 使用PERSISTENT_RECURSIVE模式
setAcl -R /tree digest:user1:加密串:r

五、ACL特性与注意事项

1. 权限继承：子节点默认不继承父节点ACL，需显式设置

2. 超级管理员：

   # 在zoo.cfg中配置
   DigestAuthenticationProvider.superDigest=admin:base64密文
   

3. 删除限制：需要同时拥有父节点的DELETE和子节点的ADMIN权限

4. Zookeeper 3.6+ 新增CONTNER和PERSISTENT_WITH_TTL节点的特殊权限控制

六、安全建议

1. 生产环境避免使用world:anyone:all
2. 推荐组合使用digest+ip方案
3. 定期审计ACL列表：

   
   find /path -exec getAcl {} \;
   

4. 敏感节点启用ADMIN权限限制

通过合理配置ACL，可有效防止未授权访问和数据篡改，是Zookeeper集群安全运维的关键环节。 “`

该文档包含代码示例、权限表格和分级标题，总字数约900字，可直接保存为.md文件使用。如需调整细节或补充内容可随时告知。