centos zookeeper权限设置详解

CentOS 上 Zookeeper 权限设置详解

一 操作系统层权限

• 运行用户与目录归属
  • 建议以专用系统用户（如 zookeeper）运行服务，避免直接使用 root。
  • 将配置、数据与日志目录归属到运行用户，并收紧权限：
    • 配置文件：建议仅对属主可读写，属组可读（如 640），属主为运行用户。
    • 数据与日志目录：建议 750，属主与属组均为运行用户。
  • 示例（按常见路径）：
    • sudo chown -R zookeeper:zookeeper /etc/zookeeper/conf /var/lib/zookeeper /var/log/zookeeper
    • sudo chmod 640 /etc/zookeeper/conf/zoo.cfg
    • sudo chmod -R 750 /var/lib/zookeeper /var/log/zookeeper
• 服务与端口
  • 使用 systemd 管理时，确保服务单元以 zookeeper 用户启动（如配置 User=zookeeper）。
  • 如启用防火墙，放行客户端端口（默认 2181/tcp）：
    • sudo firewall-cmd --permanent --zone=public --add-port=2181/tcp & & sudo firewall-cmd --reload
• SELinux
  • 排查权限问题时可先将 SELinux 切到 Permissive 模式验证：sudo setenforce 0
  • 验证通过后，基于审计日志生成并加载策略模块，避免长期关闭 SELinux：
    • sudo ausearch -c ‘zookeeper’ --raw | audit2allow -M zookeeper_selinux
    • sudo semodule -i zookeeper_selinux.pp
• 快速自检
  • 切换运行用户验证目录可访问性：sudo -u zookeeper ls -l /var/lib/zookeeper
  • 查看服务状态与日志：systemctl status zookeeper；tail -f /var/log/zookeeper/zookeeper.out。

二 Zookeeper ACL 权限模型与权限位

• 认证与标识
  • 常用认证方式包括 digest（用户名:密码，存储为 SHA1 摘要的 base64）、ip（按来源 IP 授权）、以及基于 SASL 的强认证。
  • 权限位含义：c（Create）、r（Read）、w（Write）、d（Delete）、a（Admin/ACL 管理）。
• 常用 ACL 示例
  • 创建节点时设置 ACL（digest）：
    • create /test “data” digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:cdrwa
  • 先建节点后设置 ACL：
    • setAcl /test1 digest:zk:1LHmdzcxVxYZvefFlGjacOZfF8:rw
  • 查看 ACL：
    • getAcl /test
  • 客户端登录到目标身份后再操作（避免“无权限”）：
    • addauth digest zk:test
  • 基于 IP 的授权（示例仅允许 192.168.0.33 完全控制）：
    • setAcl /test-node-ip ip:192.168.0.33:cdwra
• 超级管理员
  • 通过 JVM 启动参数设置超级 Digest（便于在紧急情况下修复 ACL）：
    • -Dzookeeper.DigestAuthenticationProvider.superDigest=super:base64encoded(SHA1(password))
  • 注意：生产环境应妥善保管超级凭据，避免滥用。

三 常见场景与命令清单

• 场景 A：单环境快速启用 digest 认证
  • 在 zkCli 中创建测试节点并设置 ACL：
    • create /app “appdata” digest:appuser:Ue8vZzK1uXyG2LmN3OpQrStUv:cdrwa
    • getAcl /app
  • 应用侧连接前先登录：
    • addauth digest appuser:apppass
• 场景 B：按来源 IP 限制
  • 仅允许管理网段 192.168.1.0/24 读写：
    • setAcl /ops ip:192.168.1.0/24:rw
• 场景 C：迁移或批量收紧 ACL
  • 先获取现有子节点列表，再递归设置（脚本化处理更稳妥）：
    • ls -R / | while read p; do setAcl “$p” digest:admin:base64digest:cdrwa; done
  • 提示：递归前先在测试环境验证，避免锁死关键路径。
• 场景 D：启用 SASL 强认证（面向多租户/严格合规）
  • 服务端配置（zoo.cfg）：
    • authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
    • requireClientAuthScheme=sasl
  • JAAS 配置（/etc/zookeeper/sasl/jaas.conf）：
    • Server { org.apache.zookeeper.server.auth.DigestLoginModule required user_super=“password_super” user_zkuser=“password_zkuser”; } ;
  • 重启服务后，客户端需通过 SASL 登录，再按 digest 或 sasl 标识设置 ACL。

四 安全加固与最佳实践

• 最小权限原则
  • 区分管理路径与业务路径，管理路径仅授予 admin 账号 cdrwa；业务路径按“读多写少”分配 r 或 rw。
• 统一身份体系
  • 避免混用 ip 与 digest；跨环境建议统一使用 digest 或 SASL，便于审计与运维。
• 超级管理员保管
  • 设置 superDigest 仅用于应急，限制可访问范围与操作审计。
• 变更流程
  • 先在测试集群演练；变更前备份 znode 结构与 ACL；变更窗口内保持控制台登录态，防止被自己锁在外面。
• 网络层加固
  • 除 2181 外，集群内部通信端口（如 2888/3888）也应限制为内网访问；必要时结合防火墙与网络分区策略。

五 故障排查与排错命令

• 目录与权限
  • 检查目录归属与权限：ls -ld /var/lib/zookeeper /var/log/zookeeper
  • 以运行用户测试访问：sudo -u zookeeper ls -l /var/lib/zookeeper
• 服务与日志
  • 查看服务状态与输出日志：systemctl status zookeeper；tail -f /var/log/zookeeper/zookeeper.out
• SELinux
  • 临时切到 Permissive 验证：sudo setenforce 0；定位后生成并加载策略模块，恢复 Enforcing。
• ACL 常见报错
  • “Insufficient permission”：先 addauth 切换到目标身份再操作；或检查父节点是否继承了更严格的 ACL。
  • “Authentication is not valid”：确认 digest 的 用户名:密码 与 znode 上 ACL 的 摘要一致（注意 base64 摘要匹配）。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！