zookeeper的ACL列表介紹

# Zookeeper的ACL列表介紹

## 一、ACL概述

在分布式系統中，訪問控制（Access Control）是保障數據安全的核心機制之一。Zookeeper作為分布式協調服務，通過**ACL（Access Control Lists）列表**實現對znode節點的權限管理。每個znode節點可綁定獨立的ACL，定義不同用戶或角色的操作權限。

### ACL核心要素
每個ACL條目由以下三部分組成：
1. **Scheme**：認證方式（如world、auth、digest等）
2. **ID**：授權對象標識
3. **Permission**：具體權限組合

## 二、ACL權限類型

Zookeeper定義了5種基礎權限：

| 權限標識 | 說明                  | 操作范圍                     |
|----------|-----------------------|------------------------------|
| `CREATE` | 創建子節點            | 僅對子節點有效               |
| `READ`   | 讀取節點數據/列表      | 可執行`get`、`ls`等命令      |
| `WRITE`  | 修改節點數據           | 僅限數據內容，不含權限修改   |
| `DELETE` | 刪除子節點            | 需配合`CREATE`權限使用       |
| `ADMIN`  | 設置ACL權限           | 可修改節點訪問控制列表       |

> 注：`ALL`表示全部權限（`CREATE|READ|WRITE|DELETE|ADMIN`）

## 三、Scheme認證方案

### 1. world方案
默認方案，所有客戶端擁有相同權限：
```bash
# 示例：任何人都可讀寫
setAcl /path world:anyone:rw

2. auth方案

認證用戶專用，無需顯式指定ID：

# 先添加認證用戶
addauth digest username:password
# 設置權限
setAcl /path auth:user:crw

3. digest方案

基于用戶名密碼的加密認證：

# 生成密文（SHA1加密）
echo -n username:password | openssl dgst -binary -sha1 | base64
# 設置ACL
setAcl /path digest:username:密文:rwcda

4. ip方案

通過IP地址限制訪問：

setAcl /path ip:192.168.1.100:r

5. x509方案

基于SSL/TLS客戶端證書認證（企業版支持）

四、ACL操作實踐

查看節點ACL

getAcl /your/path

設置自定義ACL

# 創建digest認證
addauth digest user1:password123
# 設置讀寫權限
setAcl /test digest:user1:加密串:rw

遞歸設置ACL

# 使用PERSISTENT_RECURSIVE模式
setAcl -R /tree digest:user1:加密串:r

五、ACL特性與注意事項

1. 權限繼承：子節點默認不繼承父節點ACL，需顯式設置

2. 超級管理員：

   # 在zoo.cfg中配置
   DigestAuthenticationProvider.superDigest=admin:base64密文
   

3. 刪除限制：需要同時擁有父節點的DELETE和子節點的ADMIN權限

4. Zookeeper 3.6+ 新增CONTNER和PERSISTENT_WITH_TTL節點的特殊權限控制

六、安全建議

1. 生產環境避免使用world:anyone:all
2. 推薦組合使用digest+ip方案
3. 定期審計ACL列表：

   
   find /path -exec getAcl {} \;
   

4. 敏感節點啟用ADMIN權限限制

通過合理配置ACL，可有效防止未授權訪問和數據篡改，是Zookeeper集群安全運維的關鍵環節。 “`

該文檔包含代碼示例、權限表格和分級標題，總字數約900字，可直接保存為.md文件使用。如需調整細節或補充內容可隨時告知。