Zookeeper的未授权访问漏洞解决

这里用的是用户名密码的方式，需用别的方式请参考下面地址
附大佬链接：（有三种解决方法）https://www.cnblogs.com/ilovena/p/9484522.html
首先介绍下znode的5种操作权限：

CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限，这5种权限简写为crwda(即：每个单词的首字符缩写)

注：这5种权限中，delete是指对子节点的删除权限，其它4种权限指对自身节点的操作权限

身份的认证有4种方式：

world：默认方式，相当于全世界都能访问

auth：代表已经认证通过的用户(cli中可以通过addauth digest user:pwd 来添加当前上下文中的授权用户)

digest：即用户名:密码这种方式认证，这也是业务系统中最常用的

ip：使用Ip地址认证

本文以digest认证方式展开说明。我们在zk的客户端可以进行节点权限的查看和设置。

[root@master ~]# /usr/local/zookeeper-3.4.14/bin/zkCli.sh -server 192.168.35.6:2181     #登录到zookeeper
WATCHER::

WatchedEvent state:SyncConnected type:None path:null
[zk: 192.168.35.6:2181(CONNECTED) 0] 
[zk: 192.168.35.6:2181(CONNECTED) 0] create /zmc data        
Created /zmc
[zk: 192.168.35.6:2181(CONNECTED) 1] getAcl /zmc
'world,'anyone
: cdrwa
[zk: 192.168.35.6:2181(CONNECTED) 2] addauth digest user:password          #创建用户名和密码
[zk: 192.168.35.6:2181(CONNECTED) 3] setAcl /zmc auth:user:password:cdrwa  #给创建的目录授权用户名和密码
cZxid = 0x500000102
ctime = Wed Jun 10 18:04:18 CST 2020
mZxid = 0x500000102
mtime = Wed Jun 10 18:04:18 CST 2020
pZxid = 0x500000102
cversion = 0
dataVersion = 0
aclVersion = 1
ephemeralOwner = 0x0
dataLength = 4
numChildren = 0
[zk: 192.168.35.6:2181(CONNECTED) 4] getAcl /zmc           
'digest,'user:tpUq/4Pn5A64fVZyQ0gOJ8ZWqkY=
: cdrwa

[zk: 192.168.35.6:2181(CONNECTED) 5] ls /zmc
[]
[zk: 192.168.35.6:2181(CONNECTED) 6] 

从上述操作可以看出，zk新创建的znode默认访问方式为world。我们通过addauth和setAcl给/test节点设置访问权限为digest，操作权限为cdrwa，用户名为user，密码为password。

当然，我们使用getAcl是无法获取可访问用户test的明文密码的（要是可以获取明文密码，不又是个漏洞嘛~~）。

另启zk客户端，执行ls /test,发现当前用户已经无法访问/test节点，提示信息为“Authentication is not valid”。解决方法就是addauth添加认证用户了，并且必须使用用户名和密码明文进行认证。

#登录到另一个zookeeper
[root@slave1 ~]# /usr/local/zookeeper-3.4.14/bin/zkCli.sh -server 192.168.35.6:2181
WATCHER::

WatchedEvent state:SyncConnected type:None path:null
[zk: 192.168.35.6:2181(CONNECTED) 0] ls /zmc        #没有授权，查看失败
Authentication is not valid : /zmc
[zk: 192.168.35.6:2181(CONNECTED) 1] addauth digest user:password      #授权成功
[zk: 192.168.35.6:2181(CONNECTED) 2] ls /zmc                           #查看成功
[]

[zk: 192.168.35.6:2181(CONNECTED) 3] getAcl /zmc
'digest,'user:tpUq/4Pn5A64fVZyQ0gOJ8ZWqkY=
: cdrwa

其他zookeeper集群也一样

[root@slave1 ~]# /usr/local/zookeeper-3.4.14/bin/zkCli.sh -server 192.168.35.7:2181
WATCHER::

WatchedEvent state:SyncConnected type:None path:null
[zk: 192.168.35.7:2181(CONNECTED) 0] ls /zmc         #没有授权，查看失败
Authentication is not valid : /zmc
[zk: 192.168.35.7:2181(CONNECTED) 1] addauth digest user:password      #授权成功
[zk: 192.168.35.7:2181(CONNECTED) 2] ls /zmc                           #查看成功
[]

[zk: 192.168.35.7:2181(CONNECTED) 3] getAcl /zmc
'digest,'user:tpUq/4Pn5A64fVZyQ0gOJ8ZWqkY=
: cdrwa

    注意：给/路径加授权，并没有给/路径底下的目录加授权，此时直接访问/路径底下的目录是可以直接查看成功的，例如现在zookeerper有/demo1,/demo2两个路径，给setAcl / auth:user:password:cdrwa，之后通过zk客户端连接zk,没授权的话不可以ls /路径，但是可以直接访问/demo1,/demo2，如果需要对/demo1加认证需要setAcl /demo1 auth:user:password:cdrwa。

去除授权的话  直接 setAcl 路径 world:anyone:cdrwa

参考：https://blog.csdn.net/weixin_45858439/article/details/106680860