AI 助理
备案控制台
开发者社区 安全 文章 正文

Etcd安全配置之Basic Auth认证

2018-09-12 4536
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 《中小团队落地配置中心详解》文章中我们介绍了如何基于Etcd+Confd构建配置中心,最后提到Etcd的安全问题时说了可以使用账号密码认证以达到安全访问的目的,究竟该如何开启认证以及怎么设计权限访问呢?本文将为你详细解读

认证说明

  1. Etcd v2以上的版本才支持权限认证,且仅支持Basic Auth

  2. Etcd通过用户(user)-角色(role)-权限的方式来控制访问,用户关联角色,角色拥有权限,从而用户也就拥有了相应的权限

  3. Etcd默认没有启用认证机制,只要能连接etcd服务就拥有所有的权限,还是非常危险的,另一种安全的访问方式是开启ssl,只有使用受信任的证书才能访问数据

  4. Etcd开启Basic Auth之后,默认会启用两个角色root和guest,root角色拥有所有权限,guest拥有只读权限,这两个角色都不要删除,否则你可能会遇到意想不到的Bug

  5. Etcd的权限分为只读、只写、可读写,可以对etcd的详细key进行授权,例如:/conf/project/dev/nginx.conf,也可以授权key前缀(目录),例如:/conf/project/,授权规则应以最小满足需求为准则

权限设计

权限设计应先考虑我们对权限的需求,从需求出发设计权限

  • 需求

  1. 为了方便后续管理,规定配置中心所有key都应已/conf/开头

  2. 需要两个账号,一个账号用在Kerrigan(WebUI)拥有读取、写入、修改、删除key的权限,一个账号用在confd,只有只读的权限,能够读取配置就可以了


  • 设计

  1. 需求很简单,我们需要建立两个账号,分别对应两个角色,两个角色都是对/conf/开头的Key进行控制,一个读写权限,一个只读权限

  2. 定义只读账号名为readx,只读角色名为readConf,定义读写权限账号名为authz,读写权限为rootConf,可操作的key都为/conf/开头

详细步骤

1.添加root用户

# etcdctl user add root
New password: 12345

User root created

2.创建root账号后,root默认有root角色,对所有KV有读写权限

# etcdctl user get root
User: root
Roles:  root

# etcdctl role get root
Role: root

KV Read:

    /*

KV Write:

    /*

3.开启auth认证

# etcdctl auth enable
Authentication Enabled


开启权限认证后默认会多一个guest的角色
# etcdctl --username root:12345 role list

guest

root

4.添加非root账号,一个authz的账号,一个readx的账号

# etcdctl --username root:12345 user add authz
New password: 

User authz created

# etcdctl --username root:12345 user add readx
New password: 

User readx created

5.添加角色,一个rootConf的角色,一个readConf的角色

# etcdctl --username root:12345 role add rootConf
Role rootConf created

# etcdctl --username root:12345 role add readConf

Role readConf created

6.为角色授权,readConf角色对/conf有只读权限,rootConf角色对/conf有读写权限

# etcdctl --username root:12345 role grant --read --path /conf/* readConf
Role readConf updated

# etcdctl --username root:12345 role grant --readwrite --path /conf/* rootConf

Role rootConf updated

7.给用户分配角色,authz账号分配rootConf角色,readx账号分配readConf角色

# etcdctl --username root:12345 user grant --roles rootConf authz
User authz updated

# etcdctl --username root:12345 user grant --roles readConf readx

User readx updated

8.查看用户所拥有的角色

# etcdctl --username root:12345 user get authz
User: authz
Roles:  rootConf

# etcdctl --username root:12345 user get readx
User: readx
Roles:  readConf

这样readx账号就对/conf下的所有文件有了只读权限,authz对/conf下的所有文件有了读写权限

常用命令

有一些命令上边没有介绍到,会用得到的如下:

1.关闭认证

# etcdctl --username root:12345 auth disable

2.删除用户

# etcdctl --username root:12345 user remove userx

3.用户撤销角色

# etcdctl --username root:12345 user revoke rolex

4.修改用户密码

# etcdctl --username root:12345 user passwd

同时还有删除角色、撤销角色权限可参看上边用户相关操作

踩坑记录

在开启认证后发现系统默认给添加了guest角色,觉得guest角色没用就给删除了,于是再连接etcd集群时就报如下错误:

报错:The request requires user authentication (Insufficient credentials)

解决:重新添加guest角色



原文发布时间为:2018-09-12
本文作者:37丫37
本文来自云栖社区合作伙伴“运维咖啡吧”,了解相关信息可以关注“运维咖啡吧”。
文章标签:
安全
技术小能手
目录
相关文章
chen2ha
|
Kubernetes 数据安全/隐私保护 Docker
k8s 拉取镜像报错 no basic auth credentials
k8s 拉取镜像报错 no basic auth credentials
chen2ha
1314 0
路边两盏灯
|
3月前
|
存储 JSON API
【Azure Cloud Service】使用Key Vault Secret添加.CER证书到Cloud Service Extended Support中
由于Key Vault仅支持上传pfx格式的证书,而中间证书和根证书通常为crt或cer格式,无法直接转换为pfx。因此,将完整的证书链上传至Key Vault后,只能显示服务器证书的指纹,无法直接在Cloud Service (Extended Support)中修改。解决方法是先将中间证书和根证书存储在Key Vault Secrets中,再通过调用Cloud Service API更新证书配置。具体步骤包括准备证书文件、将证书内容JSON格式化并使用az cli命令设置到Key Vault Secret中,最后通过API更新Cloud Service信息。
路边两盏灯
42 1
路边两盏灯
|
5月前
|
JavaScript 前端开发 Linux
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
【Azure 应用服务】NodeJS Express + MSAL 实现API应用Token认证(AAD OAuth2 idToken)的认证实验 -- passport.authenticate()
路边两盏灯
46 0
猴哥你好
|
NoSQL Redis 数据安全/隐私保护
AUTH
AUTH
猴哥你好
305 0
东风微鸣技术博客
|
8月前
|
弹性计算 Kubernetes 安全
基于 Traefik 的 Basic Auth 配置
基于 Traefik 的 Basic Auth 配置
东风微鸣技术博客
255 0
编程达人
|
应用服务中间件 PHP nginx
Nginx auth_basic 403 Forbidden
Nginx auth_basic 403 Forbidden
编程达人
186 0
Iric
Basic Auth认证
Basic Auth认证
Iric
183 1
vNext
|
Web App开发 安全 API
Identity Server 4 预备知识 -- OAuth 2.0 简介
OAuth 2.0 简介 OAuth有一些定义: OAuth 2.0是一个委托协议, 它可以让那些控制资源的人允许某个应用以代表他们来访问他们控制的资源, 注意是代表这些人, 而不是假冒或模仿这些人. 这个应用从资源的所有者那里获得到授权(Authorization)和access token, 随后就可以使用这个access token来访问资源. (这里提到的假冒或模仿就是指在客户端复制一份用户名和密码,从而获取相应的权限)。
vNext
1720 0
余二五
|
Web App开发 安全 数据安全/隐私保护
详解BASIC认证
余二五
1577 0
余二五
|
应用服务中间件
Tomcat配置Basic认证方案(一)
余二五
1489 0

热门文章

最新文章

  • 1
    securecrt克隆会话与sshd 的 MaxSessions
  • 2
    阿里云学生服务器优惠购买入口
  • 3
    GitHub 宣布正式收购 npm | 云原生生态周报 Vol. 42
  • 4
    “2016首届北森用户生态大会”携你探寻人才管理的新生态
  • 5
    贵州邮政:IMO班聊让内部沟通信息跳涨10万+
  • 6
    Android的界面设计工具 DroidDraw
  • 7
    使用Android Studio创建第一个Hello World应用程序
  • 8
    C# 结构(很少能用到)
  • 9
    [BoUML]生成代码
  • 10
    Tsung: A open-source, multi-protocol, distributed load testing tool
  • 1
    《探寻开源AI项目的资金密码:可持续运营之路》
    29
  • 2
    《开源数据:点燃人工智能在自然语言处理与计算机视觉领域的突破引擎》
    21
  • 3
    《开源算法:人工智能领域的双刃剑》
    30
  • 4
    《深度剖析:开源与闭源模型,AI舞台上的不同角色》
    28
  • 5
    《解锁数据新动能:数据标注工具与AI模型训练平台的无缝对接热潮》
    28
  • 6
    为了提升运维工程师及开发者
    103
  • 7
    吴恩达2024 AI总结 | AI大咖说
    30
  • 8
    招行面试:高并发写,为什么不推荐关系数据?
    48
  • 9
    基于QLearning强化学习的较大规模栅格地图机器人路径规划matlab仿真
    116
  • 10
    《docker基础篇:6.本地镜像发布到私有库》包括本地镜像发布到私有库流程、docker regisry是什么、将本地镜像推送到私有库
    50

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    DataWorks智能交互式数据开发与分析之旅