修復辦法一(推薦指定IP白名單):
1. 找到目錄 zkCli.sh文件目錄
find / -name zkCli.sh
2. 進入目錄
cd /opt/zookeeper-3.4.12/bin/
3. 登錄zk
./zkCli.sh -server zkip:zk端口
4. 查看當前權限:
getAcl /
5、添加可訪問IP
setAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
6、查看當前訪問ip權限
未授權也可以連接,但是查看節點時會報錯"KeeperErrorCode = NoAuth for /",localhost都不行,必須填可訪問IP,才能訪問。
回退辦法:
1. 使用之前設置的IP進行訪問:(如果未使用設置的ip進行訪問只能查看,修改會報未授權錯誤)
./zkCli.sh -server zkip:zk端口
設置爲所有人可訪問:
setAcl / world:anyone:cdrwa
ZK的節點有5種操作權限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、刪、改、查、管理權限,這5種權限簡寫爲crwda(即:每個單詞的首字符縮寫)
注:這5種權限中,delete是指對子節點的刪除權限,其它4種權限指對自身節點的操作權限
身份的認證有4種方式:
world:默認方式,相當於全世界都能訪問
auth:代表已經認證通過的用戶(cli中可以通過addauth digest user:pwd 來添加當前上下文中的授權用戶)
digest:即用戶名:密碼這種方式認證,這也是業務系統中最常用的
ip:使用Ip地址認證
配置防火牆策略,只允許指定IP訪問2181端口。
Linux 6:
iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
service iptables save
service iptables restart
iptables -L
Linux 7:
firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"
firewall-cmd --reload
firewall-cmd --list-all
修復辦法三(需要改程序):
1)增加一個認證用戶
addauth digest 用戶名:密碼明文
eg. addauth digest user1:password1
2)設置權限
setAcl /path auth:用戶名:密碼明文:權限
eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl設置
getAcl /path
//-------------setAcl /path digest:用戶名:密碼密文:權限 //注:這裏的加密規則是SHA1加密,然後base64編碼。
爲ZooKeeper配置相應的訪問權限。
方式一:
1)增加一個認證用戶
addauth digest 用戶名user1:密碼明文password1
addauth digest user1:password1
2)設置權限
setAcl /path auth:用戶名user1:密碼明文password1:權限
setAcl /path digest:用戶名user1:密碼密文xxxx:權限
setAcl /test auth:user1:password1:cdrwa
3)查看Acl設置
getAcl /path