0%

ZooKeeper未授权访问漏洞处理

ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。
ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。
在通常情况下,zookeeper允许未经授权的访问。

zookeeper有三个端口(可以修改),默认端口作用:

1、2181:对cline端提供服务
2、3888:选举leader使用
3、2888:集群内机器通讯使用(Leader监听此端口)

修复办法一(推荐):

1、登陆zookeeper

1
./zkCli.sh -server <IP>:<port>

2、查看当前权限:

1
getAcl /

3、添加可访问IP

1
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa

4、查看是否正常添加

1
getAcl /

未授权也可以连接,但是查看节点时会报错”KeeperErrorCode = NoAuth for /“,localhost都不行,必须填可访问IP,才能访问。

1
2
3
[zk: localhost:2181(CONNECTED) 0] ls /
KeeperErrorCode = NoAuth for /
[zk: localhost:2181(CONNECTED) 1]

回退办法:
使用之前设置的IP进行访问:

1
./zkCli.sh -server <IP>:<port>

设置为所有人可访问:

1
setAcl / world:anyone:cdrwa

修复办法二:

配置防火墙策略,只允许指定IP访问2181端口。
Linux 6:

1
2
3
4
5
6
7
iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
service iptables save
service iptables restart
iptables -L

Linux 7:

1
2
3
4
firewall-cmd --zone=public --remove-port=2181/tcp --permanent 
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"
firewall-cmd --reload
firewall-cmd --list-all

修复办法三(需要改程序):

为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户
addauth digest 用户名:密码明文

1
addauth digest user1:password1 

2)设置权限
setAcl /path auth:用户名:密码明文:权限
setAcl /path digest:用户名:密码密文:权限

1
setAcl /test auth:user1:password1:cdrwa 

3)查看Acl设置

1
getAcl /path