- 1MySQL子查询_mysql 子查询 原理
- 2基于STM32单片机的数字电压表(液晶1602)(Proteus仿真+程序)_stm32控制电压输出 protues
- 3PostgreSQL教程(十三):SQL语言(六)之类型转换_pgsql 类型转换
- 4Hadoop 入门教程(超详细)_hadoop教程
- 5【数据库】实际项目上,用到的数据库,涨涨知识_使用过什么数据库
- 6Yolov8标签匹配算法TaskAlignedAssigner原理及代码注解
- 7Python基础之多进程_python多进程
- 8【已解决】 error: subprocess-exited-with-error × python setup.py egg_info did not run successfully._error: subprocess-exited-with-error 脳 python setup
- 9第一章:ReactFlow基础概念与安装
- 10AngularJS总结_在angularjs中,视图指【】编写的页面,在【】中编写业务代码。
Kafka集群之-ZooKeeper未授权访问漏洞修复_kafka未授权访问漏洞
赞
踩
ZooKeeper 配置修改
一、修改 zoo.cfg
配置 ZooKeeper 的配置文件,修改 /usr/local/zookeeper/conf/zoo.cfg 文件,添加以下内容:
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
requireClientAuthScheme=sasl
zookeeper.sasl.client=true
sessionRequireClientSASLAuth=true
- 1
- 2
- 3
- 4
- 5
二、创建 JAAS 文件
在 ZooKeeper 的安装目录下的 conf 目录中创建 zk_jaas.conf 文件,并编辑内容如下:
abnf复制代码Server {
org.apache.zookeeper.server.auth.DigestLoginModule required
username="admin"
password="admin"
user_admin="admin";
};
Client {
org.apache.zookeeper.server.auth.DigestLoginModule required
username="admin"
password="admin";
};
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
user_admin="admin" 的含义是 user_username="password",添加一个用户名为 admin,密码为 admin 的认证用户,用户名和密码可以自行定义。
三、配置 ZooKeeper 客户端环境变量
因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 zk_jaas.conf 文件中的 Client 配置,会在连接时使用用户名和密码。
在 zkEnv.sh 文件的最后添加一行:
export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${JVMFLAGS}"
- 1
四、重启 ZooKeeper 服务
重启 ZooKeeper 服务,正常启动一般便无问题。
五、通过客户端连接文件连接 ZooKeeper 服务
复制代码/usr/local/zookeeper/bin/zkCli.sh -server {hostname}:{port}
例如:./zkCli.sh -server 192.168.2.2:2181
- 1
- 2
一般连接成功会有如下日志显示:
有较明显的 Will attempt to SASL-authenticate using Login Context section 'Client' 的提示,至此 ZooKeeper 的 SASL 配置完毕。
六、如何设置权限
ZooKeeper 的 SASL 和普通的认证授权还不太一样。
- ZooKeeper 默认允许匿名用户访问,如果不想让匿名用户访问某些节点,则需要给节点单独设置 ACL 权限,配置完 SASL 后,连接 ZooKeeper 客户端,然后可以给每个节点设置 ACL 权限:
setAcl /path sasl:admin:crdwa
- 1
- ZooKeeper 的 3.6.0 版本之后新增了一个环境变量
sessionRequireClientSASLAuth,这个环境变量为true时要求客户端连接 ZooKeeper 时必须进行 SASL 认证才可以连接成功,也就是说没有进行 SASL 认证的匿名用户就无法连接了,比第一步给每个节点设置 ACL 更方便一些,相当于在连接时设置了一个登录密码。
可以在单机版的 zoo.cfg 或嵌入式的 zookeeper.properties 里添加如下配置:
sessionRequireClientSASLAuth=true
- 1
七、Kafka 如何连接
配置完以上的认证后,启动 Kafka 可能会报错。原因是因为 Kafka 依赖于 ZooKeeper,要进行节点的访问,但是配置完后 Kafka 也失去了权限,因此无法正常启动。
解决方法:在 Kafka 安装目录下的 bin/kafka-run-class.class 目录下添加环境变量,如下:
sh复制代码# ...前面的内容省略
base_dir=$(dirname $0)/..
KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${KAFKA_OPTS}" # 要添加的行
if [ -z "$SCALA_VERSION" ]; then
SCALA_VERSION=2.12.10
fi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
然后重启 Kafka 即可解决,如下图:
原理和 ZooKeeper 客户端连接原理一样,需要配置连接时的 Client 的用户名和密码,用户名和密码都在 zk_jaas.conf 文件里。
参考资料
如有任何问题,请随时联系我!
