Kafka集群之-ZooKeeper未授权访问漏洞修复

zookeeper 配置修改

一、修改 zoo.cfg

配置 zookeeper 的配置文件，修改 /usr/local/zookeeper/conf/zoo.cfg 文件，添加以下内容：

authprovider.1=org.apache.zookeeper.server.auth.saslauthenticationprovider
jaasloginrenew=3600000
requireclientauthscheme=sasl
zookeeper.sasl.client=true
sessionrequireclientsaslauth=true

二、创建 jaas 文件

在 zookeeper 的安装目录下的 conf 目录中创建 zk_jaas.conf 文件，并编辑内容如下：

abnf复制代码server {
   org.apache.zookeeper.server.auth.digestloginmodule required
   username="admin"
   password="admin"
   user_admin="admin";
};

client {
   org.apache.zookeeper.server.auth.digestloginmodule required
   username="admin"
   password="admin";
};

user_admin="admin" 的含义是 user_username="password"，添加一个用户名为 admin，密码为 admin 的认证用户，用户名和密码可以自行定义。

三、配置 zookeeper 客户端环境变量

因为如果要连接 zookeeper 是需要通过 sasl 认证的，所以需要配置环境变量，这里的环境变量主要是使用 zk_jaas.conf 文件中的 client 配置，会在连接时使用用户名和密码。

在 zkenv.sh 文件的最后添加一行：

export jvmflags="-djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${jvmflags}"

四、重启 zookeeper 服务

重启 zookeeper 服务，正常启动一般便无问题。

五、通过客户端连接文件连接 zookeeper 服务

复制代码/usr/local/zookeeper/bin/zkcli.sh -server {hostname}:{port}
例如：./zkcli.sh -server 192.168.2.2:2181

一般连接成功会有如下日志显示：

有较明显的 will attempt to sasl-authenticate using login context section 'client' 的提示，至此 zookeeper 的 sasl 配置完毕。

六、如何设置权限

zookeeper 的 sasl 和普通的认证授权还不太一样。

1. zookeeper 默认允许匿名用户访问，如果不想让匿名用户访问某些节点，则需要给节点单独设置 acl 权限，配置完 sasl 后，连接 zookeeper 客户端，然后可以给每个节点设置 acl 权限：

setacl /path sasl:admin:crdwa

1. zookeeper 的 3.6.0 版本之后新增了一个环境变量 sessionrequireclientsaslauth，这个环境变量为 true 时要求客户端连接 zookeeper 时必须进行 sasl 认证才可以连接成功，也就是说没有进行 sasl 认证的匿名用户就无法连接了，比第一步给每个节点设置 acl 更方便一些，相当于在连接时设置了一个登录密码。

可以在单机版的 zoo.cfg 或嵌入式的 zookeeper.properties 里添加如下配置：

sessionrequireclientsaslauth=true

七、kafka 如何连接

配置完以上的认证后，启动 kafka 可能会报错。原因是因为 kafka 依赖于 zookeeper，要进行节点的访问，但是配置完后 kafka 也失去了权限，因此无法正常启动。

解决方法：在 kafka 安装目录下的 bin/kafka-run-class.class 目录下添加环境变量，如下：

sh复制代码# ...前面的内容省略
base_dir=$(dirname $0)/..
kafka_opts="-djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${kafka_opts}" # 要添加的行

if [ -z "$scala_version" ]; then
  scala_version=2.12.10
fi

然后重启 kafka 即可解决，如下图：

原理和 zookeeper 客户端连接原理一样，需要配置连接时的 client 的用户名和密码，用户名和密码都在 zk_jaas.conf 文件里。

参考资料

• kafka 安装及开启 sasl_plaintext 认证（用户名和密码认证）
• zookeeper 未授权访问漏洞确认与修复
• zookeeper 四字命令
• zookeeper 和 kafka 安全配置

如有任何问题，请随时联系我！