概述

Z K作为一个分布式协调框架、内部存储着一些分布式系统运行时状态的元数据。如何有效的保护这些数据的安全、如何做一个比较好的权限控制显得非常的重要。

ZK 为我们提供一套完善的 ACL(access control list,访问控制列表) 权限控制机制来保障数据的安全。

ACL 介绍

我们可以从三个方面来理解 ACL 机制

  • Scheme 权限模式
  • Id 授权对象
  • Permission 权限

通常使用 scheme:id:permission 来标志一个有效的 ACL 信息、我们先来看看我们默认的数据节点里面的 ACL 数据

getACl /

我们也可以看到他也是分为三部分的

  • world 对应的就是 scheme
  • anyone 对应的就是 id
  • cdrwa 对应的就是 permission

下面我们就分别介绍它们

权限

  • create:c 数据节点的创建权限、允许授权对象在该数据节点下创建子节点。
  • delete:d 子节点的删除权限、允许授权对象删除该数据节点的子节点
  • read:r 数据节点的读取权限、允许授权对象对该数据节点读取数据内容和获取子节点列表信息
  • write:w 数据节点的更新权限、允许授权对象对数据节点的数据内容进行更新
  • admin:a 数据节点的管理权限、允许授权对象对该数据节点进行 ACL 相关的设置操作

权限模式

如果按分类来说、ZK 中其实只有两种权限模式,一种是基于IP/IP段的,一种是基于账号密码的。

但是可以细分为以下四种

  • IP
  • digest
  • world
  • super

IP

IP 模式可以针对数据节点设置 IP 地址或设置 IP 网段的方式进行配置。

[zk: localhost:2181(CONNECTED) 44] create /acl_ip data ip:127.0.0.1:cdrwa

Created /acl_ip

我们创建了数据节点 acl_ip 并且为这个节点设置了 ACL ,使用的是 IP 这种模式、授权对象就是 127.0.0.1 这个 ip,而权限则是五种权限全部都赋予了。我们在另外本机电脑的另一个 zkClient 中访问该数据节点

[zk: 127.0.0.1:2181(CONNECTED) 21] get /acl_ip

data

cZxid = 0x520

ctime = Sat May 16 13:04:40 CST 2020

mZxid = 0x520

mtime = Sat May 16 13:04:40 CST 2020

pZxid = 0x520

cversion = 0

dataVersion = 0

aclVersion = 0

ephemeralOwner = 0x0

dataLength = 4

numChildren = 0

[zk: 127.0.0.1:2181(CONNECTED) 22] getAcl /acl_ip

'ip,'127.0.0.1

: cdrwa

digest

就是我们常见的账号密码模式

username:password

但是对于我们在命令行中、我们输入的并不是一个原始的密码、而是需要我们对 username:password 进行加密和编码之后的值。

[zk: localhost:2181(CONNECTED) 46] create /acl_digest data digest:foo:Jfg7TYUBs/6KEtdDWd5OB6bdD2Q=:wrcda

Created /acl_digest

[zk: localhost:2181(CONNECTED) 47] getAcl /acl_digest

'digest,'foo:Jfg7TYUBs/6KEtdDWd5OB6bdD2Q=

: cdrwa

原始的数据是: username 为 foo, password 为 true,但是在命令行中输入的 password 已然不是我们原本的 true 了

原因也很简单、安全嘛、那它的加密以及编码的逻辑是啥?

在源代码中 org.apache.zookeeper.server.auth.DigestAuthenticationProvider#generateDigest

 public static String generateDigest(String idPassword) throws NoSuchAlgorithmException {

        String[] parts = idPassword.split(":", 2);

        byte[] digest = MessageDigest.getInstance("SHA1").digest(idPassword.getBytes());

        return parts[0] + ":" + base64Encode(digest);

    }

可以看到其先对 username:password 进行SHA1 的加密、然后再进行 base64 的编码,最后得出来的就是我们返回的就是我们在命令行中输入的 foo:Jfg7TYUBs/6KEtdDWd5OB6bdD2Q= 这个字符串。

   String idPassword = "foo:true";

   System.out.println(generateDigest(idPassword));

   // 打印结果为

	 foo:Jfg7TYUBs/6KEtdDWd5OB6bdD2Q=

我们现在在另一个 zkClient 中增加 digest 信息然后访问这个数据节点

[zk: localhost:2181(CONNECTED) 9] addauth digest foo:true

[zk: localhost:2181(CONNECTED) 10] get /acl_digest

data

cZxid = 0x521

ctime = Sat May 16 13:41:55 CST 2020

mZxid = 0x521

mtime = Sat May 16 13:41:55 CST 2020

pZxid = 0x521

cversion = 0

dataVersion = 0

aclVersion = 0

ephemeralOwner = 0x0

dataLength = 4

numChildren = 0

world

world 是一种最开放的权限控制模式,事实上这种权限控制几乎没有任何的作用、数据节点的访问权限对所有用户开放,我们默认的就是这种权限模式。这种模式其实就是一种特殊的 digest 模式,只不过它的 id 只有一个 anyone

super

super 就是超级用户的意思、也是一种特殊的 digest。 在这个模式下、超级用户可以对任意的数据节点进行任意的操作。

授权对象

  • IP 授权模式下、授权对象就是 ip
  • digest 授权模式下、授权对象就是 username:base64(sha1(username:password))
  • world 授权模式下、只有一个授权对象 anyone
  • super 授权模式下、跟 digest 授权模式一样

super 授权模式介绍

如何配置一个超级管理员的授权对象呢?

假如我们配置的账号密码为 foo:foo 我们可以在启动 zkServer 的时候加入如下的系统属性

-Dzookeeper.DigestAuthenticationProvider.superDigest=foo:qllW6iET90npPATKMTxiFSiQ5Ns=

可以在启动 zkServer 的时候在 idea 的配置中加上这个参数

然后启动 server 则可

如果我们使用的是已经是官方编译好的zk、则可以在 bin 目录下修改 zkServer.sh 脚本的内容

nohup "$JAVA"

"-Dzookeeper.log.dir=${ZOO_LOG_DIR}"

"-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}"

"-Dzookeeper.DigestAuthenticationProvider.superDigest=foo:qllW6iET90npPATKMTxiFSiQ5Ns=" \

加上我们的系统变量、然后启动则可

foo:foo 为 super 授权对象 的 username 和 password

/acl_super 节点的 username 和 password 都是 super 这个字符串

// super:super

[zk: localhost:2181(CONNECTED) 2] create /acl_super data digest:super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=:wrdca

Created /acl_super

[zk: localhost:2181(CONNECTED) 3] getAcl /acl_super

'digest,'super:gG7s8t3oDEtIqF6DM9LlI/R+9Ss=

: cdrwa

[zk: localhost:2181(CONNECTED) 4] get /acl_super

Authentication is not valid : /acl_super

[zk: localhost:2181(CONNECTED) 5] addauth digest foo:foo

[zk: localhost:2181(CONNECTED) 6] get /acl_super

data

cZxid = 0x52b

ctime = Sat May 16 15:18:18 CST 2020

mZxid = 0x52b

mtime = Sat May 16 15:18:18 CST 2020

pZxid = 0x52b

cversion = 0

dataVersion = 0

aclVersion = 0

ephemeralOwner = 0x0

dataLength = 4

numChildren = 0

super 授权模式验证部分源码

    private static final String superDigest = System.getProperty("zookeeper.DigestAuthenticationProvider.superDigest");

public KeeperException.Code handleAuthentication(ServerCnxn cnxn, byte[] authData) {

        String id = new String(authData);

        try {

            String digest = generateDigest(id);

            if (digest.equals(superDigest)) {

                cnxn.addAuthInfo(new Id("super", ""));

            }

            cnxn.addAuthInfo(new Id(getScheme(), digest));

            return KeeperException.Code.OK;

        } catch (NoSuchAlgorithmException e) {

            LOG.error("Missing algorithm", e);

        }

        return KeeperException.Code.AUTHFAILED;

    }

我们看到当我们的 digest 等于 superDigest 的时候、就会向 ServerCnxn 中增加多一个 Id 对象

private Set<Id> authInfo = Collections.newSetFromMap(new ConcurrentHashMap<Id, Boolean>());

而在我们访问节点的时候、触发 checkACL

org.apache.zookeeper.server.ZooKeeperServer#checkACL

 public void checkACL(ServerCnxn cnxn, List<ACL> acl, int perm, List<Id> ids, String path, List<ACL> setAcls) throws KeeperException.NoAuthException {

				// acl 为空

        if (acl == null || acl.size() == 0) {

            return;

        }

   			// super 授权模式

        for (Id authId : ids) {

            if (authId.getScheme().equals("super")) {

                return;

            }

        }

        for (ACL a : acl) {

            Id id = a.getId();

            if ((a.getPerms() & perm) != 0) {

              	// world 授权模式

                if (id.getScheme().equals("world") && id.getId().equals("anyone")) {

                    return;

                }

                ....

                ....

            }

        }

   			// 抛出异常

        throw new KeeperException.NoAuthException();

    }

相关文章

ZooKeeper 数据模型

编译运行Zookeeper源码

Zookeeper Watcher 流程分析(结合源码)

Zookeeper-Access Control List(ACL)的更多相关文章

  1. Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

    <Windows Azure Platform 系列文章目录> 本文介绍的是国内由世纪互联运维的China Azure. 我们在创建完Windows Azure Virtual Machi ...

  2. Phalcon 訪问控制列表 ACL(Access Control Lists ACL)

    Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(訪问控制列表). Access Control Lists (ACL) 同意系统对用户的訪问权限进行控制,比方同意訪问 ...

  3. [笔记] Access Control Lists (ACL) 学习笔记汇总

    一直不太明白Windows的ACL是怎么回事,还是静下心来看一手的MSDN吧. [翻译] Access Control Lists [翻译] How Access Check Works Modify ...

  4. Oracle ACL(Access Control List)

    在oralce 11g中假如你想获取server的ip或者hostname,执行如下语句 SELECT utl_inaddr.get_host_address FROM dual;  //获取IP S ...

  5. windows访问控制列表 --ACL(Access Control List)

    1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两 ...

  6. SELINUX、Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

    catalog . 引言 . 访问控制策略 . 访问控制方法.实现技术 . SELINUX 0. 引言 访问控制是网络安全防范和客户端安全防御的主要策略,它的主要任务是保证资源不被非法使用.保证网络/ ...

  7. Method and system for implementing mandatory file access control in native discretionary access control environments

    A method is provided for implementing a mandatory access control model in operating systems which na ...

  8. Extensible Access Control List Framework

    Methods, systems, and products for governing access to objects on a filesystem. In one general embod ...

  9. Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

    1. 访问控制基本概念 访问控制是网络安全防范和客户端安全防御的重要基础策略,它的主要任务是保证资源不被非法使用.保证网络/客户端安全最重要的核心策略之一. 访问控制包括 入网访问控制 网络权限控制 ...

  10. Oracle ACL (Access Control List)详解

    在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念提出来,叫做ACL(Access Control List), 这是一种细粒度的权限控制.在ACL之 ...

随机推荐

  1. Java 第十一届 蓝桥杯 省模拟赛 正整数的摆动序列

    正整数的摆动序列 问题描述 如果一个序列的奇数项都比前一项大,偶数项都比前一项小,则称为一个摆动序列.即 a[2i]<a[2i-1], a[2i+1]>a[2i]. 小明想知道,长度为 m ...

  2. Java实现P2102 -- 正整数序列

    P2102 – 正整数序列 给定正整数n, 你的任务是用最少的操作次数把序列1,2,-,n中的所有数都变成0.每次操作可从序列中选择一个或多个整数, 同时减去一个相同的正整数.比如,1,2,3可以把2 ...

  3. 第四届蓝桥杯C++B组国(决)赛真题

    解题代码部分来自网友,如果有不对的地方,欢迎各位大佬评论 题目1.猜灯谜 A 村的元宵节灯会上有一迷题: 请猜谜 * 请猜谜 = 请边赏灯边猜 小明想,一定是每个汉字代表一个数字,不同的汉字代表不同的 ...

  4. Linux 独立服务管理

    RPM包安装在默认位置 /etc/init.d/:启动脚本位置 /etc/sysconfig/:初始化环境配置文件位置 /etc/:配置文件位置 /etc/xinetd.conf/:xinetd配置文 ...

  5. leetcode之两数相加解题思路

    问题描述 给定一个整数数组 nums 和一个目标值 target,请你在该数组中找出和为目标值的那 两个 整数,并返回他们的数组下标. 你可以假设每种输入只会对应一个答案.但是,数组中同一个元素不能使 ...

  6. .NET Core 工作单元unitofwork 实现,基于NPOCO

    现有项目中的orm 并非efcore,而是非主流的npoco,本身没有自带工作单元所以需要自己手撸一个,现记录一下,基于其他orm的工作单元照例实现应该没有什么问题 该实现基于NPOCO,针对其他的O ...

  7. 7.keras-模型保存和载入

    keras-模型保存和载入 1.数据的载入与预处理 import numpy as np from keras.datasets import mnist from keras.utils impor ...

  8. Mybatis反射修改SQL值

    Mybatis反射修改SQL值 某一些情况下我们需要动态的改变Mybtis的执行的sql语句,有两种方法:1)使用拦截器,2)使用反射,拦截器的比较简单点,这里使用反射实现一次,有一点小坑,记录一下: ...

  9. 死啃了String源码之后

    Java源码之String 说在前面: 为什么看源码: 最好的学习的方式就是模仿,接下来才是创造.而源码就是我们最好的模仿对象,因为写源码的人都不是一般的人,所以用心学习源码,也就可能变成牛逼的人.其 ...

  10. 如何在Centos7安装swoole的PHP扩展

    1. 下载swoole源代码包 wget -c https://github.com/swoole/swoole-src/archive/v2.0.8.tar.gz 2.tar -zxvf v2.0. ...