Kafka、Zookeeper、Redis、MySQL和Elasticsearch（ES）鉴权配置

在容器化环境中部署Kafka、Zookeeper、Redis、MySQL和Elasticsearch（ES）时，确保这些服务的安全性是非常重要的。以下是如何检查和配置这些服务的鉴权（认证和授权）机制，以及相关配置文件的路径和配置方法。

Kafka

检查是否需要鉴权

检查配置文件：
- Kafka的配置文件通常是server.properties。
- 查找以下配置项：
```
security.inter.broker.protocol=SSL
ssl.client.auth=required
sasl.enabled.mechanisms=PLAIN
```
- 如果这些配置项存在并且配置了相应的值，说明Kafka启用了鉴权机制。
查看日志：
- 检查Kafka的启动日志，查看是否有关于SSL或SASL的日志条目。

使用Kafka命令行工具：

使用kafka-configs.sh工具查看用户和ACL配置：

kafka-configs.sh --zookeeper <zookeeper_host>:<port> --describe --entity-type users

配置文件路径

在容器中，配置文件通常位于/opt/kafka/config/server.properties或/etc/kafka/server.properties。

配置鉴权信息

配置SSL：

在server.properties中添加：

listeners=SSL://<your_host>:9093
security.inter.broker.protocol=SSL
ssl.keystore.location=/var/private/ssl/kafka.server.keystore.jks
ssl.keystore.password=<keystore_password>
ssl.key.password=<key_password>
ssl.truststore.location=/var/private/ssl/kafka.server.truststore.jks
ssl.truststore.password=<truststore_password>
ssl.client.auth=required

配置SASL：

在server.properties中添加：

listeners=SASL_SSL://<your_host>:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \username="admin" \password="admin-secret" \user_admin="admin-secret" \user_alice="alice-secret";

Zookeeper

检查是否需要鉴权

检查配置文件：
- Zookeeper的配置文件通常是zoo.cfg。
- 查找以下配置项：
```
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
```
- 如果这些配置项存在并且配置了相应的值，说明Zookeeper启用了鉴权机制。
查看日志：
- 检查Zookeeper的启动日志，查看是否有关于SASL或其他认证机制的日志条目。

配置文件路径

在容器中，配置文件通常位于/conf/zoo.cfg或/etc/zookeeper/zoo.cfg。

配置鉴权信息

配置SASL：

在zoo.cfg中添加：

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

创建JAAS文件：

创建一个JAAS文件（例如zookeeper_jaas.conf）：

Server {org.apache.zookeeper.server.auth.DigestLoginModule requireduser_admin="admin-secret";
};

启动Zookeeper时指定JAAS文件：

在启动命令中添加：

export JVMFLAGS="-Djava.security.auth.login.config=/path/to/zookeeper_jaas.conf"

Redis

检查是否需要鉴权

检查配置文件：
- Redis的配置文件通常是redis.conf。
- 查找以下配置项：
```
requirepass <your_password>
```
- 如果存在requirepass配置项并设置了密码，说明Redis启用了鉴权机制。
使用Redis命令行工具：
- 连接到Redis实例并尝试执行命令，如果需要输入密码，说明启用了鉴权：
```
redis-cli -a <your_password>
```

配置文件路径

在容器中，配置文件通常位于/usr/local/etc/redis/redis.conf或/etc/redis/redis.conf。

配置鉴权信息

设置密码：
- 在redis.conf中添加或修改：
```
requirepass <your_password>
```
重启Redis：
- 使配置生效，需要重启Redis服务：
```
redis-server /path/to/redis.conf
```

MySQL

检查是否需要鉴权

检查用户和权限：
- 登录到MySQL并查看用户表：
```
SELECT user, host, authentication_string FROM mysql.user;
```
- 确保每个用户都有设置密码。
检查配置文件：
- MySQL的配置文件通常是my.cnf或my.ini。
- 查找以下配置项：
```
skip-grant-tables
```
- 确保skip-grant-tables没有被启用，因为启用它会跳过用户表的加载，导致没有鉴权。
查看日志：
- 检查MySQL的启动日志，查看是否有关于用户认证的日志条目。

配置文件路径

在容器中，配置文件通常位于/etc/mysql/my.cnf或/etc/my.cnf。

配置鉴权信息

设置用户密码：

登录到MySQL并为用户设置密码：

ALTER USER 'root'@'localhost' IDENTIFIED BY 'new_password';

确保skip-grant-tables未启用：
- 在my.cnf中确保没有以下配置项：
```
skip-grant-tables
```
重启MySQL：
- 使配置生效，需要重启MySQL服务：
```
service mysql restart
```

Elasticsearch (ES)

检查是否需要鉴权

检查配置文件：
- Elasticsearch的配置文件通常是elasticsearch.yml。
- 查找以下配置项：
```
xpack.security.enabled: true
```
- 如果存在xpack.security.enabled配置项并设置为true，说明Elasticsearch启用了鉴权机制。
查看日志：
- 检查Elasticsearch的启动日志，查看是否有关于X-Pack安全模块的日志条目。

配置文件路径

在容器中，配置文件通常位于/usr/share/elasticsearch/config/elasticsearch.yml或/etc/elasticsearch/elasticsearch.yml.

配置鉴权信息

启用X-Pack安全：
- 在elasticsearch.yml中添加：
```
xpack.security.enabled: true
```
设置用户和角色：
- 使用Elasticsearch的用户管理API设置用户和角色：
```
POST /_security/user/kibana_system/_password
{"password" : "new_password"
}
```
重启Elasticsearch：
- 使配置生效，需要重启Elasticsearch服务：
```
service elasticsearch restart
```