1.ZooKeeper未授权访问 描述 ZooKeeper在未设置访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,任务用户或者客户端不需要认证就可以连上zk的服务端,并且可以对znode进行增删等操作,非常不安全的,极易被攻击和篡改。
加固建议 可以使用以下方法修复 限制Zookeeper直接暴露在公网,将端口绑定地址改为127.0.0.1 设置访问控制
增加一个认证用户 addauth digest 用户名:密码明文
设置访问控制权限 setAcl /path auth:用户名:密码明文:权限
例如给根目录设置权限:setAcl / auth:user1:password1:cdrwa 设置IP白名单访问控制 如给192.168.0.0/24网段设置白名单,在设置IP白名单时,将本机ip 127.0.0.1也加上,让本机也可以访问及修改 setAcl / ip:127.0.0.1:cdrwa,ip:192.168.0.1/24:cdrwa
