Zookeeper安全检查

1.ZooKeeper未授权访问
描述
ZooKeeper在未设置访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,任务用户或者客户端不需要认证就可以连上zk的服务端,并且可以对znode进行增删等操作,非常不安全的,极易被攻击和篡改。

加固建议
可以使用以下方法修复
限制Zookeeper直接暴露在公网,将端口绑定地址改为127.0.0.1
设置访问控制

增加一个认证用户
addauth digest 用户名:密码明文

设置访问控制权限
setAcl /path auth:用户名:密码明文:权限

例如给根目录设置权限:setAcl / auth:user1:password1:cdrwa
设置IP白名单访问控制 如给192.168.0.0/24网段设置白名单,在设置IP白名单时,将本机ip 127.0.0.1也加上,让本机也可以访问及修改
setAcl / ip:127.0.0.1:cdrwa,ip:192.168.0.1/24:cdrwa

0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论