zookeeper未授权访问漏洞增加用户认证修复

linux机器中使用root命令行cd到zookeeper的bin文件夹下

启动zookeeper

./zkCli.sh
# 启动zookeeper

如果此时有未授权漏洞，可通过以下命令验证。

getAcl /
#可以看到默认是world:anyone  就相当于无权限访问

验证结果显示没有用户认证也可执行一些命令

增添用户认证修复

addauth digest root:root
#添加一个账号密码,账号密码可自定义
setAcl / auth:root:root:cdrwa
#给 / 根目录设置权限,也可以给其他目录
getAcl /
#设置后可以再执行 getAcl / 看下权限是否改过来了

退出至linux命令行界面，重启zookeeper，在验证是否还可以未授权即可访问。

quit
# 退出
./zkCli.sh
# 启动zookeeper
getAcl /
#可以看到已无法访问，提示无法校验有效的身份信息

则证明修复成功