Ubuntu上Zookeeper安全設置主要包括以下關鍵方面:
1. 配置防火墻限制訪問
使用ufw(Uncomplicated Firewall)限制對Zookeeper端口的訪問��,僅允許可信IP連接�。例如�����,允許192.168.1.0/24網絡訪問2181端口�����,拒絕其他IP:
sudo ufw enable
sudo ufw allow from 192.168.1.0/24 to any port 2181
sudo ufw deny 2181
sudo ufw status verbose
2. 設置認證機制
2.1 簡單認證(Digest/DIGEST-MD5)
編輯/etc/zookeeper/conf/zoo.cfg�����,啟用簡單認證并配置用戶密碼:
security.auth.simple.enable=true
auth.type=simple
auth.simple.users=admin:password
重啟Zookeeper使配置生效:
sudo systemctl restart zookeeper
客戶端連接時需提供認證信息:
ZooKeeper zk = new ZooKeeper("localhost:2181", 3000, null);
zk.addAuthInfo("digest", "admin:password".getBytes());
2.2 ACL(訪問控制列表)
通過zkCli.sh命令行工具或配置文件設置節點權限:
3. 加密通信(SSL/TLS)
為防止數據傳輸被竊聽�,配置SSL/TLS加密:
- 生成SSL證書:
mkdir -p /etc/zookeeper/ssl
keytool -genkey -alias zookeeper -keyalg RSA -keysize 2048 \
-keystore /etc/zookeeper/ssl/zookeeper.jks -validity 3650
- 配置ZooKeeper使用SSL:編輯
zoo.cfg��,添加以下參數:ssl.enable=true
ssl.keystore.location=/etc/zookeeper/ssl/zookeeper.jks
ssl.keystore.password=your_keystore_password
ssl.keyPassword=your_key_password
重啟Zookeeper服務:
sudo systemctl restart zookeeper
4. 用戶與組權限管理
4.1 創建專用系統用戶
避免以root用戶運行Zookeeper���,創建專用用戶和組:
sudo addgroup zookeeper
sudo adduser --system --group --no-create-home --home /var/lib/zookeeper zookeeper
4.2 設置文件與目錄權限
確保ZooKeeper關鍵目錄僅能被專用用戶訪問:
sudo chown -R zookeeper:zookeeper /var/lib/zookeeper
sudo chown zookeeper:zookeeper /etc/zookeeper/conf/zoo.cfg
sudo chmod -R 750 /var/lib/zookeeper
sudo chmod 640 /etc/zookeeper/conf/zoo.cfg
5. 其他安全措施
- 限制SSH訪問:修改
/etc/ssh/sshd_config�,禁用root遠程登錄并啟用密鑰認證:PermitRootLogin no
PasswordAuthentication no
重啟SSH服務:sudo systemctl restart sshd
- 監控與審計:定期檢查Zookeeper日志(
/var/log/zookeeper/)和系統日志����,監控異常操作��;使用工具(如auditd)記錄關鍵操作��。
- 定期更新:及時更新Zookeeper軟件包和系統補丁��,修復已知安全漏洞:
sudo apt update && sudo apt upgrade zookeeper
