当前位置:   article > 正文

Kafka集群之-ZooKeeper未授权访问漏洞修复_kafka未授权访问漏洞

kafka未授权访问漏洞

ZooKeeper 配置修改

一、修改 zoo.cfg

配置 ZooKeeper 的配置文件,修改 /usr/local/zookeeper/conf/zoo.cfg 文件,添加以下内容:

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
requireClientAuthScheme=sasl
zookeeper.sasl.client=true
sessionRequireClientSASLAuth=true
  • 1
  • 2
  • 3
  • 4
  • 5
二、创建 JAAS 文件

在 ZooKeeper 的安装目录下的 conf 目录中创建 zk_jaas.conf 文件,并编辑内容如下:

abnf复制代码Server {
   org.apache.zookeeper.server.auth.DigestLoginModule required
   username="admin"
   password="admin"
   user_admin="admin";
};

Client {
   org.apache.zookeeper.server.auth.DigestLoginModule required
   username="admin"
   password="admin";
};
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

user_admin="admin" 的含义是 user_username="password",添加一个用户名为 admin,密码为 admin 的认证用户,用户名和密码可以自行定义。

三、配置 ZooKeeper 客户端环境变量

因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 zk_jaas.conf 文件中的 Client 配置,会在连接时使用用户名和密码。

在 zkEnv.sh 文件的最后添加一行:

export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${JVMFLAGS}"
  • 1
四、重启 ZooKeeper 服务

重启 ZooKeeper 服务,正常启动一般便无问题。

五、通过客户端连接文件连接 ZooKeeper 服务
复制代码/usr/local/zookeeper/bin/zkCli.sh -server {hostname}:{port}
例如:./zkCli.sh -server 192.168.2.2:2181
  • 1
  • 2

一般连接成功会有如下日志显示:
在这里插入图片描述

有较明显的 Will attempt to SASL-authenticate using Login Context section 'Client' 的提示,至此 ZooKeeper 的 SASL 配置完毕。

六、如何设置权限

ZooKeeper 的 SASL 和普通的认证授权还不太一样。

  1. ZooKeeper 默认允许匿名用户访问,如果不想让匿名用户访问某些节点,则需要给节点单独设置 ACL 权限,配置完 SASL 后,连接 ZooKeeper 客户端,然后可以给每个节点设置 ACL 权限:
setAcl /path sasl:admin:crdwa
  • 1
  1. ZooKeeper 的 3.6.0 版本之后新增了一个环境变量 sessionRequireClientSASLAuth,这个环境变量为 true 时要求客户端连接 ZooKeeper 时必须进行 SASL 认证才可以连接成功,也就是说没有进行 SASL 认证的匿名用户就无法连接了,比第一步给每个节点设置 ACL 更方便一些,相当于在连接时设置了一个登录密码。

可以在单机版的 zoo.cfg 或嵌入式的 zookeeper.properties 里添加如下配置:

sessionRequireClientSASLAuth=true
  • 1
七、Kafka 如何连接

配置完以上的认证后,启动 Kafka 可能会报错。原因是因为 Kafka 依赖于 ZooKeeper,要进行节点的访问,但是配置完后 Kafka 也失去了权限,因此无法正常启动。

解决方法:在 Kafka 安装目录下的 bin/kafka-run-class.class 目录下添加环境变量,如下:

sh复制代码# ...前面的内容省略
base_dir=$(dirname $0)/..
KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${KAFKA_OPTS}" # 要添加的行

if [ -z "$SCALA_VERSION" ]; then
  SCALA_VERSION=2.12.10
fi
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

然后重启 Kafka 即可解决,如下图:
在这里插入图片描述

原理和 ZooKeeper 客户端连接原理一样,需要配置连接时的 Client 的用户名和密码,用户名和密码都在 zk_jaas.conf 文件里。

参考资料

如有任何问题,请随时联系我!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/888176
推荐阅读
相关标签
  

闽ICP备14008679号