注册
登录
zookeeper
关于zookeeper的安全
返回
关于zookeeper的安全
作者:
CTO啊哦
发布时间:
2024-01-31 05:36:15 (5月前)
转自:
<div class =“excerpt”> 我遇到了一个关于zookeeper安全的问题。我有一个 <span class =“result-highlight”> 动物园管理员 </跨度> &amp; kafka,我用sasl来保护 <span class =“result-highlight”> 动物园管理员 </跨度> 。虽然我发现'zkcli'有一个错误,即使我不提供sasl的 用户名和密码,我仍然可以访问zoopkeeper的znode。问题解释如下: HTTP:// <span class =“result-highlight”> 动物园管理员 </跨度> -user.578899.n2.nabble.com/SASL-for-Client-connections-td7583502.html#a7583510 我不知道是 </DIV>
收藏
举报
2 条回复
0#
回复此人
Mystery☀
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 不确定它会帮助你,但也许:) </p> <P> 以下是我为部分问题所做的工作(无SASL):有效客户端IP的白名单。 </p> <UL> <LI> <P> 添加到zkServer.sh <code> -Dzookeeper.authProvider.1=MyCustomIPAuthenticationProvider </code> </p> </LI> <LI> <P> 使用创建所有znodes <code> withACL(ZooDefs.Ids.CREATOR_ALL_ACL) </code> (假设策展人) </p> </LI> </UL> <P> 和 </p> <pre> <code> public class MyCustomIPAuthenticationProvider extends org.apache.zookeeper.server.auth.IPAuthenticationProvider { private static Set<String> validHosts = new HashSet<>(); // todo populate @Override public KeeperException.Code handleAuthentication(org.apache.zookeeper.server.ServerCnxn cnxn, byte[] authData) { String id = cnxn.getRemoteSocketAddress().getAddress().getHostAddress(); if (! matches(id, null) || ! matches(new String(authData), null)) { return org.apache.zookeeper.KeeperException.Code.AUTHFAILED; } return super.handleAuthentication(cnxn, authData); } @Override public boolean matches(String id, String aclExpr) { return validHosts.contains(id); } @Override public boolean isAuthenticated() { return true; } } </code> </pre> <P> 请注意,它不是100%安全(客户端可以伪造他的IP)。 (并且用例没有Kafka!) </p> </DIV>
编辑
登录
后才能参与评论
