在CentOS系统上设置Apache Zookeeper的安全配置涉及多个方面，包括配置文件权限、数据目录和日志目录权限、SELinux设置、ACL（访问控制列表）配置、客户端连接认证等。以下是一个详细的安全设置指南：

1. 配置文件权限

确保Zookeeper的配置文件（如zoo.cfg）的权限设置正确。通常建议将配置文件的所有者设置为Zookeeper运行的用户。

sudo chown -R zookeeper:zookeeper /path/to/zoo.cfg
sudo chmod 644 /path/to/zoo.cfg

2. 数据目录和日志目录权限

Zookeeper需要访问特定的目录来存储数据和日志文件。这些目录的权限应设置为允许Zookeeper用户读写。

sudo chown -R zookeeper:zookeeper /path/to/dataDir
sudo chmod -R 750 /path/to/dataDir

sudo chown -R zookeeper:zookeeper /path/to/logDir
sudo chmod -R 750 /path/to/logDir

3. SELinux设置

如果启用了SELinux，可能需要调整相关的安全策略以允许Zookeeper访问所需的资源。可以通过临时关闭SELinux进行测试：

sudo setenforce 0

或者永久关闭SELinux，并相应地修改系统配置。

4. ACL（访问控制列表）配置

Zookeeper通过ACL进行权限管理，支持多种认证和授权方式。

• 创建用户和角色：

zkCli.sh adduser user1
zkCli.sh setAcl /path/to/node world:anyone:r
zkCli.sh setAcl /path/to/node user1:user1:rwcda

• 客户端连接时使用认证信息：

使用Kerberos或SASL进行身份验证。例如，使用SASL认证，可以在客户端代码中设置认证信息：

ZooKeeper zk = new ZooKeeper("localhost:2181", 3000, null);
zk.addAuthInfo("digest", "user1:password".getBytes());

5. 防火墙设置

确保配置防火墙以允许Zookeeper使用的端口（默认是2181）通信。

sudo firewall-cmd --zone=public --add-port=2181/tcp --permanent
sudo firewall-cmd --reload

6. 启动和验证Zookeeper

配置完成后，可以启动Zookeeper服务并验证其状态。

/usr/local/zookeeper/bin/zkServer.sh start
/usr/local/zookeeper/bin/zkServer.sh status

7. 高级安全设置

• 使用SSL/TLS加密通信：在生产环境中，建议对Zookeeper服务间的通信进行加密处理，以增强数据传输的安全性。
• 限制特定IP地址访问：通过配置ACL，限制特定IP地址对Zookeeper的访问。

请注意，以上信息仅供参考，具体操作可能因系统版本和环境的不同而有所差异。在进行任何系统更改之前，建议备份重要数据，并谨慎操作。