【安全问题】ZooKeeper未授权访问-zookeeper存在未授权访问漏洞_为zookeeper配置相应的访问权限。 方式一: 1)增加一个认证用户 addauth diges

修复办法一(推荐指定IP白名单)：
1. 找到目录 zkCli.sh文件目录

find / -name zkCli.sh
2. 进入目录

cd /opt/zookeeper-3.4.12/bin/
3. 登录zk
./zkCli.sh  -server zkip:zk端口
4. 查看当前权限：
getAcl /
5、添加可访问IP
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
6、查看当前访问ip权限

未授权也可以连接，但是查看节点时会报错"KeeperErrorCode = NoAuth for /"，localhost都不行，必须填可访问IP，才能访问。

回退办法：
1.  使用之前设置的IP进行访问：（如果未使用设置的ip进行访问只能查看，修改会报未授权错误）

./zkCli.sh  -server zkip:zk端口

设置为所有人可访问：
setAcl / world:anyone:cdrwa

ZK的节点有5种操作权限：
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限，这5种权限简写为crwda(即：每个单词的首字符缩写)
注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限

身份的认证有4种方式：
world：默认方式，相当于全世界都能访问
auth：代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest：即用户名:密码这种方式认证，这也是业务系统中最常用的
ip：使用Ip地址认证

修复办法二：

配置防火墙策略，只允许指定IP访问2181端口。
Linux 6：

iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
service iptables save
service iptables restart
iptables -L

Linux 7:

firewall-cmd --zone=public --remove-port=2181/tcp --permanent 
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"
firewall-cmd --reload
firewall-cmd --list-all

修复办法三（需要改程序）：
1）增加一个认证用户
addauth digest 用户名:密码明文
eg. addauth digest user1:password1
2）设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3）查看Acl设置
getAcl /path

//-------------setAcl /path digest:用户名:密码密文:权限   //注：这里的加密规则是SHA1加密，然后base64编码。

为ZooKeeper配置相应的访问权限。
方式一：
1）增加一个认证用户
addauth digest 用户名user1:密码明文password1

addauth digest user1:password1 

2）设置权限
setAcl /path auth:用户名user1:密码明文password1:权限
setAcl /path digest:用户名user1:密码密文xxxx:权限

setAcl /test auth:user1:password1:cdrwa 

3）查看Acl设置

getAcl /path