ZooKeeper设置ACL权限控制，删除权限

simperLv

IP属地: 四川

1.5 2019.10.12 17:05 字数 903

ZK的节点有5种操作权限：

CREATE、READ、WRITE、DELETE、ADMIN 也就是增、删、改、查、管理权限，这5种权限简写为crwda(即：每个单词的首字符缩写)
注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限

Zookeeper的ACL通过scheme:id:permissions来构成权限
scheme这边主要用到4种方式：
world：默认方式，相当于全世界都能访问
auth：代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest：即用户名:密码这种方式认证，这也是业务系统中最常用的
ip：使用Ip地址认证

这次项目让设置一下dubbo连接zookeper的权限问题，于是看到了设置ACL权限，找到zookeeper下的bin文件夹，打开zk服务，启动./zkCli.sh

如果在dubbo中没有指定分组的话，dubbo会默认生成一个分组dubbo，也就是在zookeeper下面会有个子节点dubbo

方式一（推荐方式）

1）增加一个认证用户
addauth digest 用户名:密码明文
eg：addauth digest user1:password1
2）设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3）查看Acl设置
getAcl /path

在添加用户之前，查看一下zookeper的节点信息，然后创建一个新的节点用来添加用户（使用绝对路径要添加数据）

创建节点.png

节点下的内容.png

设置ACL权限.png

dubbo配置.png

如果不加之前配置的认证用户

错误.png

方式二：

setAcl /path digest:用户名:密码密文:权限

注：这里的加密规则是SHA1加密，然后base64编码。

漏洞扫描验证

经过上面的过程结果还是不能绕过zookeeper未授权访问漏洞，经测试可以在其他服务器上通过echo envi|nc + ip + 端口访问到zk的信息

因为zookeeper会默认启动这几个具有world和cdrwa权限的znode，“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"（根据zookeeper的版本不同可能存在不同，并且这几个节点虽然具有world和cdrwa权限，但是是无法删除的，不知道为什么，好在我们可以给它设置ACL列表。另外，官网对着几个节点也没有特别说明，估计和zk本身的一些配置相关吧，不删除最好）。就是这几个znode，会导致你的产品无法通过安全工具的漏洞扫描，解决办法也是很简单的，用我们前面说过的zk.setACL为这几个节点设置权限就OK了，千万别忘记根节点"/"了。

我这里用的zookeeper3.4.13  默认只有这三个节点
//设置根节点
setAcl / auth:username:password:cdrwa
//zookeeper
setAcl /zookeeper auth:username:password:cdrwa
// zookeeper/quota
setAcl /zookeeper/quota auth:username:password:cdrwa

这里之所以设置完zookeeper节点还要设置quota
是因为znode的ACL是相互独立的。也就是说，任意不同节点可以用不同的acl列表，互不影响，并且ACL是不可被继承的。
好了，到这里，才是真正的解决了这个未授权访问漏洞问题了。