Kafka & Zookeeper

Механизм

Описание

Как передаются учетные данные

Использование

PLAINTEXT

Отсутствие аутентификации

Без защиты, все данные передаются в открытом виде

Только для локальной разработки и тестирования

PLAIN

Простой механизм аутентификации с передачей логина и пароля

Открытым текстом (если не используется SSL/TLS)

Используется с SSL/TLS в защищенных средах

SCRAM (SCRAM-SHA-256/512)

Безопасная аутентификация с хешированными паролями и солью

Хешированные пароли (PBKDF2)

Рекомендуется для продакшена

GSSAPI (Kerberos)

Использует билеты Kerberos для аутентификации без передачи паролей

Надежный механизм, аутентификация через KDC

Для корпоративных и защищенных сред

OAuthBearer

Аутентификация с использованием OAuth 2.0 токенов

JWT или другие токены

Подходит для интеграции с внешними сервисами

Kafka

3 ways to get Remote Code Execution in Kafka UIThe GitHub Blog

Kafka Connect

Kcat - Generic command line non-JVM Apache Kafka producer and consumer

List all topics

kcat -b 192.168.1.1:9092 -X security.protocol=SASL_SSL -X sasl.mechanism=SCRAM-SHA-256 -X sasl.username='username' -X sasl.password='P@$$W0RD' -X enable.ssl.certificate.verification=false -L

List topic 'mytopic'

kcat -b 192.168.1.1:9092 -X security.protocol=SASL_SSL -X sasl.mechanism=SCRAM-SHA-256 -X sasl.username='username' -X sasl.password='P@$$W0RD' -X enable.ssl.certificate.verification=false -t mytopic

Zookeeper

Работает на TCP 2181 и по умолчанию доступен без аутентификации. Позволяет получить статистику о кластере, информацию об узлах, выключить сервер и т.д

Все команды:

dump: Lists the outstanding sessions and ephemeral nodes. This only works on the leader.
envi: Print details about serving environment
kill: Shuts down the server. This must be issued from the machine the ZooKeeper server is running on
reqs: List outstanding requests
ruok: Tests if server is running in a non-error state. The server will respond with imok if it is running. Otherwise it will not respond at all
srst: Reset statistics returned by stat command
stat: Lists statistics about performance and connected clients

Отправить команду: echo ruok | nc 192.168.1.1 2181

Zookeeper Connect

./zkCli.sh -server 10.20.176.123:2181

Create user in kafka via zookeeper

kafka-configs.sh --zookeeper 192.168.1.1:2181 --alter --add-config 'SCRAM-SHA-256=[password=P@$$W0RD]' --entity-type users --entity-name username

Качаем образ bitnami/kafka:2.8.1 и в нем

#Create user
/opt/bitnami/kafka/bin/kafka-configs.sh --zookeeper 192.168.215.1:2181
--alter
--add-config 'SCRAM-SHA-256=[password=NewP@ssw0rd]'
--entity-type users
--entity-name target_user

#Give ACL to user
/opt/bitnami/kafka/bin/kafka-acls.sh
--authorizer-properties zookeeper.connect=192.168.215.1:2181
--add
--allow-principal User:target_user
--operation All
--topic ''
--group ''
--cluster

#List topic in broker
kcat -b localhost:9092
-X security.protocol=SASL_PLAINTEXT
-X sasl.mechanisms=SCRAM-SHA-256
-X sasl.username="target_user"
-X sasl.password="NewP@ssw0rd"
-L

-L вывести топики -t выбрать топик

Give ACL rights via zookeeper

kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
  --add --allow-principal User:username \
  --operation All --topic '*' --group '*' --cluster

PreviousGitlab NextKUBER

Last updated 2 months ago