ZK的节点有5种操作权限:
CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)
注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限
Zookeeper的ACL通过scheme:id:permissions来构成权限
scheme这边主要用到4种方式:
world:默认方式,相当于全世界都能访问
auth:代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)
digest:即用户名:密码这种方式认证,这也是业务系统中最常用的
ip:使用Ip地址认证
这次项目让设置一下dubbo连接zookeper的权限问题,于是看到了设置ACL权限,找到zookeeper下的bin文件夹,打开zk服务,启动./zkCli.sh
如果在dubbo中没有指定分组的话,dubbo会默认生成一个分组dubbo,也就是在zookeeper下面会有个子节点dubbo
方式一(推荐方式)
1)增加一个认证用户
addauth digest 用户名:密码明文
eg:addauth digest user1:password1
2)设置权限
setAcl /path auth:用户名:密码明文:权限
eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置
getAcl /path
在添加用户之前,查看一下zookeper的节点信息,然后创建一个新的节点用来添加用户(使用绝对路径 要添加数据)
如果不加之前配置的认证用户
方式二:
setAcl /path digest:用户名:密码密文:权限
注:这里的加密规则是SHA1加密,然后base64编码。
漏洞扫描验证
经过上面的过程结果还是不能绕过zookeeper未授权访问漏洞,经测试可以在其他服务器上通过echo envi|nc + ip + 端口 访问到zk的信息
因为zookeeper会默认启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。另外,官网对着几个节点也没有特别说明,估计和zk本身的一些配置相关吧,不删除最好)。就是这几个znode,会导致你的产品无法通过安全工具的漏洞扫描,解决办法也是很简单的,用我们前面说过的zk.setACL为这几个节点设置权限就OK了,千万别忘记根节点"/"了。
我这里用的zookeeper3.4.13 默认只有这三个节点
//设置根节点
setAcl / auth:username:password:cdrwa
//zookeeper
setAcl /zookeeper auth:username:password:cdrwa
// zookeeper/quota
setAcl /zookeeper/quota auth:username:password:cdrwa
这里之所以设置完zookeeper节点还要设置quota
是因为znode的ACL是相互独立的。也就是说,任意不同节点可以用不同的acl列表,互不影响,并且ACL是不可被继承的。
好了,到这里,才是真正的解决了这个未授权访问漏洞问题了。
删除权限
找到zookeeper的日志地址,把日志删除就行了,或者 delete /节点
linux环境下也可以使用命令,查询日志地址
echo conf | nc 127.0.0.1 2181
参考博客:
https://blog.csdn.net/hekf2010/article/details/78844609
https://blog.csdn.net/wuxintdrh/article/details/73433283
https://www.cnblogs.com/ilovena/p/9484522.html