即使使用sasl身份验证,zookeeper也不安全。
Zookeeper是一个开源的分布式协调服务,用于管理和协调分布式应用程序的配置信息、命名服务、分布式锁等。尽管Zookeeper支持sasl身份验证机制,但仍存在一些安全风险。
首先,sasl身份验证只是一种身份验证机制,用于验证客户端与Zookeeper服务器之间的身份。它并不能提供完整的数据传输加密和保护。因此,即使使用sasl身份验证,仍然可能存在数据被窃听或篡改的风险。
其次,Zookeeper的安全性还与其配置和部署方式有关。如果没有正确配置访问控制列表(ACL),未经授权的用户可能仍然能够访问和修改Zookeeper的数据。此外,如果Zookeeper服务器部署在不安全的网络环境中,攻击者可能通过网络嗅探或中间人攻击来获取敏感信息。
为了提高Zookeeper的安全性,可以采取以下措施:
- 使用SSL/TLS加密:通过配置Zookeeper服务器和客户端之间的SSL/TLS连接,可以确保数据在传输过程中的机密性和完整性。
- 启用ACL:通过正确配置访问控制列表(ACL),限制对Zookeeper节点的访问权限,只允许授权用户进行读写操作。
- 定期备份和监控:定期备份Zookeeper的数据,并监控服务器的运行状态,及时发现异常行为。
- 使用安全的网络环境:将Zookeeper服务器部署在受信任的网络环境中,限制对服务器的物理访问,并采取防火墙等措施保护网络安全。
腾讯云提供了一系列与Zookeeper相关的产品和服务,例如腾讯云Zookeeper集群,它是基于开源Zookeeper构建的高可用、高性能的分布式协调服务,提供了数据的可靠存储和分布式锁等功能。您可以通过以下链接了解更多信息:
腾讯云Zookeeper集群:https://cloud.tencent.com/product/czookeeper
需要注意的是,以上答案仅供参考,具体的安全措施应根据实际情况和需求进行评估和实施。
相关·内容
我正在配置一个包含3个代理节点和3个zookeeper节点的kafka集群。和requireClientAuthScheme=sasl 并将KAFKA_OPTS=-Djava.security.auth.login.config=/usr/local/confluent/etc/kafka/zookeeper_jaas.conf添加到我的systemd文件中。但是,当我从集群外部使用zookeeper-cli时,我可以看到znode。我做错了什么
浏览 46提问于2019-12-31得票数 0
2回答
我对Kafka身份验证的不同协议和机制感到困惑。如果我使用SSL,我还可以使用LDAP服务器进行身份验证吗?kafka的配置会发生怎样的变化。当前配置:
listeners=<e
浏览 1提问于2018-01-16得票数 1
我正在尝试在Kafka broker和客户端之间启用SASL_PLAINTEXT身份验证,而不需要在Kafka和Zookeeper之间进行身份验证。目前我正在使用Kafka的融合产品,与CDH Zookeeper。有没有办法传入一个标志来禁用Kafka <-> Zookeeper的SASL?
浏览 47提问于2020-10-05得票数 0
回答已采纳
我想添加身份验证和授权,我的合流卡夫卡运行与码头。这应该只发生在端口9093,9092应该像以前一样工作,因为ip表规则阻塞了外部客户端的端口。因此,我使用了以下配置:=> 9092明文卡夫卡容器环境变量 - ZOOKEEPER_DATA_DIR=/kafka/
浏览 4提问于2021-08-04得票数 2
1回答
请任何人帮助启用SASL认证与wurstmeister/动物园管理员和wurstmeister/kafka在码头组成?我在没有身份验证的情况下运行这些程序,一切正常,但我无法设置简单的用户名/密码身份验证。zookeeper: ports: build: .: kafka
KAFKA_LIST
浏览 2提问于2020-05-20得票数 4
3回答
我有一个最近的动物园管理员构建(版本=3.4.3-1240972,构建于02/06/201210:48格林尼治标准时间),并且在迫使SASL在所有客户端连接上使用时遇到了困难。使用发行版的本地conf/目录,我有以下配置(运行在Ubuntu12.04上):tickTime=2001syncLimit=5clientPort=2181
authProvider.1
浏览 4提问于2012-07-10得票数 5
4回答
动物园管理员SASL保安
、、、、
我正在使用ZooKeep3.4.12版本,并且在尝试启用下面错误的SASL时。有人能帮上忙吗。com.sun.security.auth.module.Krb5LoginModule required storeKey=true keyTab="/tmp/kafka/zookeeper.service.keytabprincipal="zookeeper/chefclient.xyz.l
浏览 3提问于2018-11-02得票数 2
根据文档,我已经使用命令kafka-configs.sh创建了用户名和密码,并授予该用户对主题的访问权限。
这也很好用。但是,kafka-configs.sh命令本身不需要任何类型的身份验证,所以我认为任何人都可以运行该命令,在Kafka中创建自己的用户并授予自己的权限。也许我需要在Zookeeper上启用SASL安全?但我找不到任何关于如何做到这一点的一致或有效的文档。像requireclientauthscheme=sasl这样向zookeeper.config添加属性似乎没有任何作
浏览 9提问于2018-01-09得票数 2
1回答
我可以使用kafka broker和embedded zookeeper (由Kafka提供)对MD5进行摘要-MD5身份验证,但在执行摘要时我得到了以下错误消息:使用Kafka broker和非嵌入式动物园管理员(单独的动物园管理员实例)进行MD5身份验证。以下是错误消息:
[2018-11-05 19:44:21,536] ERROR SASL authentication failed using login context 'Client' withexcep
浏览 0提问于2018-11-05得票数 1
回答已采纳
我正在尝试设置我的kafka集群以接受SASL_SSL / SCRAM身份验证。首先,一切都在正常工作,客户端使用SASL_SSL / GSSAPI进行连接。我的Zk服务器也被配置为SASL身份验证和TLS。:KAFKA_SASL_ENABLED_MECHANISMS=GSSAPI,SCRAM-SHA-512中使用。] INFO adding SASL authorization for auth
浏览 17提问于2021-01-21得票数 2
/bin/zookeeper-server-start.sh config/zookeeper.propertiesKafkaServer {server=localhost:9092sasl.jaas.config=org.apache.kafka.common.
浏览 1提问于2019-07-29得票数 6
回答已采纳
我在上读到:
定义一个实现AuthenticateCallbackHandler的新类,它处理NameCallback配置的回调处理程序负责验证客户端提供的密码,这可以使用外部身份验证服务器。ZOOKEEPER_CLIENT_PORT: 2181 <
浏览 1提问于2018-05-18得票数 6
我是Zookeeper新手。我已经在独立模式下在zookeeper服务器中创建了一个节点。下面是它的代码片段。throws KeeperException, IOException, InterruptedException { zk = new ZooKeepernew byte[0],}
现在,我想在创建节点时(在上面的代码中)使用
浏览 14提问于2013-04-24得票数 0
我正在尝试为没有ssl的Kafka集群启用SASL用户名和密码。我遵循了Stackoverflow上的步骤: Kafka SASL zookeeper authentication SASL身份验证似乎对Kafka经纪人有效。在写入或读取主题之前,消费者和生产者必须进行身份验证。到目前一切尚好。 问题是在kafka上创建和删除主题。例如,当我尝试使用以下命令时: ~/kafka/bin/kafka-topics.sh --list --<e
浏览 45提问于2019-02-28得票数 0
我使用的是Publish Kafka处理器的下一个配置:zookeeper.properties
jaasLoginRenew=3600000org
浏览 3提问于2021-01-14得票数 1
Kafka SSL对等端没有进行身份验证,而是返回匿名错误,当客户端连接代理SASL端口时,它允许在明文或SSL端口上进行连接。更新:2019年-10-14 15:39:42,108调试SslTransportLayer通道is =127.0.0.1:9094-127.0.0.1:63848-) 2019-14 15:39:42,108调试SASL服务器状态到HANDSHAKE_REQUEST在身份验证期间(org.apache.kafka.common.se
浏览 2提问于2019-10-11得票数 0
以下代码是我如何连接到我的IMap服务器,这似乎连接到其他IMap服务器没有问题&得到身份验证,但它不允许我打开收件箱,因为不安全的登录?我可以使用其他电子邮件客户端登录到此EMail。
浏览 38提问于2018-12-17得票数 1
回答已采纳
1回答
我正在使用以下脚本在MAC M1机器中运行和Kafkadocker run --name zookeeper -p 2181:2181 -e ZOOKEEPER_TICK_TIME=(org.apache.zookeeper.ClientCnxn)
[2022-11-18 21:15:48,462] INFO SASL config status: Will not attemptto authenticate using SASL (unknown error) (
浏览 5提问于2022-11-18得票数 1
我正在尝试为AWS MSK集群使用kafka rest代理。以下是kafka- Here .rest.properties的详细信息: username="username"};
然后使用以下方法设
浏览 4提问于2021-06-07得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
