杜绝|时会_如何杜绝sparkhistoryserverui的未授权访问?

篇首语：本文由编程笔记#小编为大家整理，主要介绍了如何杜绝 spark history server ui 的未授权访问?相关的知识，希望对你有一定的参考价值。

如何杜绝 spark history server ui 的未授权访问?
1 问题背景

默认状况下&＃xff0c;Spark history Sever ui 是没有任何访问控制机制的&＃xff0c;任何用户只要知道 shs 对应的 url&＃xff0c;就可以访问链接查看 spark 作业的运行状况。

在证券基金银行等金融行业中&＃xff0c;客户大都对信息安全有着较靠的要求&＃xff0c;上述未授权访问的情况肯定是要杜绝的。那么如何配置以杜绝上述对 shs ui 的未授权访问呢&＃xff1f;

2 开启 kerberos 的大数据集群环境中&＃xff0c;如何杜绝对 shs ui 的未授权访问&＃xff1f;

在信息安全要求较高的环境中&＃xff0c;我们推荐开启大数据集群的 kerberos 安全认证&＃xff0c;从而对整个集群中的 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等服务提供认证保护。

• 此时这些服务如 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等的客户端&＃xff0c;在使用 rpc 协议访问服务端时&＃xff0c;只有在经过 kerberos 认证后才能访问成功&＃xff1b;
• 在访问这些服务的 web ui 时&＃xff0c;比如 namenode/resourceManager/hive hs2/spark History Server 等的 web ui&＃xff0c;此时客户使用的客户端工具是 web 浏览器&＃xff0c;此时为对使用浏览器基于 http/https 访问 web UI 的用户进行身份验证&＃xff0c;可以在服务端配置是否启用 spnego&＃xff08;spnego 底层基于 kerberos)&＃xff1b;
• 当没有启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时&＃xff0c;任何用户都可以在不经过 kerberos 认证的情况下访问 webui;
• 当启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时&＃xff0c;用户只有在成功通过了 kerberos 认证拿到了 ticket 后&＃xff0c;才能成功访问对应服务的 web ui&＃xff08;需要在浏览器中做相应配置&＃xff09;&＃xff1b;
• 可以手动在服务端后台配置文件中&＃xff0c;通过一系列的参数配置是否启用对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证&＃xff1b;
• 在 CDH 中&＃xff0c;可以通过 cm web ui 白屏化操作&＃xff0c;以开启或关闭对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证&＃xff0c;“启用 HTTP Web 控制台的 Kerberos 身份验证”&＃xff0c;如下所示&＃xff1a;
  

结合配置以下参数&＃xff0c;即可控制对 SHS UI 的授权访问&＃xff1a;

spark.history.ui.acls.enable&＃61;true
spark.history.ui.admin.acls&＃61;spark
spark.history.ui.admin.acls.groups


此时&＃xff0c;通过浏览器访问 shs web ui 时,在没有经过 kerberos 安全认证时&＃xff0c;就会报类似如下的错误&＃xff1a;

3 SHS UI 访问控制背后的实现机制

• 查阅官方文档可知&＃xff0c;Spark UI 的认证&＃xff0c;包括 shs ui 的认证&＃xff0c;使用的都是 servlet 过滤器&＃xff1b;
• 而 spark 本身并没有提供任何内置的认证 过滤器, 大家需要根据自己的认证机制自己实现一个认证过滤器&＃xff0c;并配置参数 spark.ui.filters 使用该过滤器&＃xff1b;
• 参数 spark.ui.filters 可以配置多个过滤器&＃xff0c;以逗号隔开即开&＃xff1b;
  
  
• 注意参数 spark.authenticate&＃xff1a;该参数控制 Spark 内部各个进程进行 rpc 通信时是否需要经过认证&＃xff0c;而不是控制用户访问 spark webui时是否需要经过认证&＃xff1b;
• 在配置了认证过滤器的基础上&＃xff0c;就可以通过配置参数 spark.acls.enable/spark.history.ui.acls.enable 分别对 spark/shs 的 webui 开启或关闭访问控制&＃xff1b;
  
  
• 访问控制列表具体包括三种&＃xff0c;即 view acl(只具有view权限),modify acl(只具有 Modify权限) 和 admin acl(具有view和modify权限)&＃xff1b;
• 配置访问控制列表时&＃xff0c;可以配置用户也可以配置用户组&＃xff1b;&＃xff08;支持配置逗号分隔的多个值&＃xff0c;也支持配置*通配符&＃xff09;&＃xff1b;
• spark/shs webui的访问控制相关参数如下&＃xff1a;

spark.acls.enable
spark.admin.acls
spark.admin.acls.groups
spark.modify.acls
spark.modify.acls.groups
spark.ui.view.acls
spark.ui.view.acls.groups
spark.user.groups.mapping
spark.history.ui.acls.enable
spark.history.ui.admin.acls
spark.history.ui.admin.acls.groups


• Hadoop 提供了一个 servlet 认证过滤器&＃xff0c;即 org.apache.hadoop.security.authentication.server.AuthenticationFilter&＃xff0c;和一个可以配套使用的 spnego 认证机制的实现类&＃xff0c;即 org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler&＃xff1b;
  

• 在开启 kerberos 的大数据集群环境中&＃xff0c;为实现对 shs ui 的访问控制&＃xff0c;背后即可配置使用上述 hadoop 提供的认证过滤器和spnego 认证实现类&＃xff1b;
• 在 CDH/CDP 环境中&＃xff0c;可以通过查看 shs 进程背后的配置文件&＃xff0c;确认其正是使用了上述访问控制机制&＃xff0c;和上述 hadoop 提供的认证过滤器和spnego 认证实现类&＃xff1a;
  

详细的配置参数如下&＃xff1a;

//通过以下配置项开启了 shs ui 的 spnego 认证
spark.ui.filters&＃61;org.apache.spark.deploy.yarn.YarnProxyRedirectFilter,org.apache.hadoop.security.authentication.server.AuthenticationFilter
spark.org.apache.hadoop.security.authentication.server.AuthenticationFilter.param.type&＃61;kerberos
spark.org.apache.hadoop.security.authentication.server.AuthenticationFilter.param.kerberos.principal&＃61;HTTP/uf30-3&＃64;CDH.COM
spark.org.apache.hadoop.security.authentication.server.AuthenticationFilter.param.kerberos.keytab&＃61;spark_on_yarn.keytab
spark.org.apache.hadoop.security.authentication.server.AuthenticationFilter.param.kerberos.name.rules&＃61;DEFAULT\\u000A
//通过以下配置项&＃xff0c;开启了 shs ui 的访问控制列表 acl&＃xff0c;且配置了具体的 admin acl 为用户 spark 和用户组 spark
spark.history.ui.acls.enable&＃61;true
spark.history.ui.admin.acls&＃61;spark
spark.history.ui.admin.acls.groups&＃61;spark
//注意&＃xff0c;以下配置项是 shs 在 rpc 通讯时的 kerberos 相关配置&＃xff0c;这些配置影响的是 rpc 通信&＃xff0c;跟是否开启 httpspnego 认证无关
spark.history.kerberos.enabled&＃61;true
spark.history.kerberos.principal&＃61;spark/uf30-3&＃64;CDH.COM
spark.history.kerberos.keytab&＃61;spark_on_yarn.keytab
//以下参数控制 Spark 内部各个进程进行 rpc 通信时是否需要经过认证&＃xff0c;跟是否开启 http spnego 认证无关
spark.authenticate&＃61;true/false

4 未开启 kerberos 的大数据集群环境中&＃xff0c;如何杜绝对 shs web ui 的未授权访问&＃xff1f;

• 在没有开启 kerberos 的大数据集群环境中&＃xff0c;对 shs ui 进行访问控制&＃xff0c;仍需要使用上述 servlet 认证过滤器和访问控制列表机制&＃xff1b;

• 由于 spark 本身并没有提供任何内置的认证 过滤器, 大家需要根据自己的认证机制自己实现一个认证过滤器&＃xff0c;并配置参数 spark.ui.filters 使用该过滤器&＃xff1b;

• 事实上&＃xff0c;Hadoop 提供了一个 servlet 认证过滤器&＃xff0c;即 org.apache.hadoop.security.authentication.server.AuthenticationFilter&＃xff0c;和几个配套的认证机制的实现类&＃xff0c;b包括 PseudoAuthenticationHandler/KerberosAuthenticationHandler/LdapAuthenticationHandler/MultiSchemeAuthenticationHandler/JWTRedirectAuthenticationHandler&＃xff1b;

• 在没有开启 kerberos 的大数据集群环境中&＃xff0c;大家可以重点看下 hadoop 提供的 LdapAuthenticationHandler/JWTRedirectAuthenticationHandler 认证过滤器&＃xff0c;能否满足自己对 shs ui 认证的需要&＃xff1b;
  

• 如果上述 hadoop 提供的认证过滤去不满足自己对 shs ui 认证的需要&＃xff0c;大家需要根据自己的认证机制自己实现一个认证过滤器&＃xff1b;

• 笔者在此提供一个简单的认证过滤器&＃xff0c;该过滤器&＃xff1b;

import org.apache.commons.codec.binary.Base64;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.StringTokenizer;
/*
该类是一个简单的 servlet 安全过滤器&＃xff0c;可以配置 spark history server web ui 使用该安全过滤器&＃xff0c;以实现基本的访问控制
需要配合以下参数一起使用&＃xff1a;
spark.ui.filters&＃xff0c;spark.history.ui.acls.enable&＃xff0c;
spark.history.ui.admin.acls&＃xff0c;spark.history.ui.admin.acls.groups
*/
public class BasicAuthenticationFilter implements Filter
/** Logger */
private static final Logger LOG &＃61; LoggerFactory.getLogger(BasicAuthenticationFilter.class);
private String username &＃61; "";
private String password &＃61; "";
private String realm &＃61; "Protected";
/*
该方法使用指定的参数初始化该安全过滤器
具体参数包括&＃xff1a;
用户名 username
密码 password
安全域 realm
*/
&＃64;Override
public void init(FilterConfig filterConfig) throws ServletException
username &＃61; filterConfig.getInitParameter("username");
password &＃61; filterConfig.getInitParameter("password");
realm &＃61; filterConfig.getInitParameter("realm");
if ( StringUtils.isBlank( username ) )
throw new ServletException( "No user provided in filter configuration" );

if ( StringUtils.isBlank( password ) )
throw new ServletException( "No password provided in filter configuration" );

if ( StringUtils.isBlank( realm ) )
throw new ServletException( "No realm provided in filter configuration" );


/*
该方法对 http 请求进行安全过滤&＃xff0c;具体过滤逻辑是&＃xff1a;
检查 http header 中 Authorization 是否为 Basic&＃xff0c;并提取 header 中的用户名和密码
将 header 中提取的用户名和密码&＃xff0c;跟初始化该过滤器时使用的用户名和密码进行对比&＃xff0c;若一致则认证通过
其他情况则认证失败
*/
&＃64;Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException
HttpServletRequest request &＃61; (HttpServletRequest) servletRequest;
HttpServletResponse response &＃61; (HttpServletResponse) servletResponse;
String authHeader &＃61; request.getHeader("Authorization");
if (authHeader !&＃61; null)
StringTokenizer st &＃61; new StringTokenizer(authHeader);
if (st.hasMoreTokens())
String basic &＃61; st.nextToken();
if (basic.equalsIgnoreCase("Basic"))
try
String credentials &＃61; new String(Base64.decodeBase64(st.nextToken()), "UTF-8");
LOG.debug("Credentials: " &＃43; credentials);
int p &＃61; credentials.indexOf(":");
if (p !&＃61; -1)
String _username &＃61; credentials.substring(0, p).trim();
String _password &＃61; credentials.substring(p &＃43; 1).trim();
if (!username.equals(_username) || !password.equals(_password))
unauthorized(response, "Bad credentials");

filterChain.doFilter(servletRequest, servletResponse);
else
unauthorized(response, "Invalid authentication token");

catch (UnsupportedEncodingException e)
throw new Error("Couldn&＃39;t retrieve authentication", e);



else
unauthorized(response);


&＃64;Override
public void destroy()

private void unauthorized(HttpServletResponse response, String message) throws IOException
response.setHeader("WWW-Authenticate", "Basic realm&＃61;\\"" &＃43; realm &＃43; "\\"");
response.sendError(401, message);

private void unauthorized(HttpServletResponse response) throws IOException
unauthorized(response, "Unauthorized");




• 使用该认证过滤器&＃xff0c;配合以下参数&＃xff0c;即可实现对 shs ui 的访问控制&＃xff1a;

//通过以下配置项开启了 shs ui 的认证 - 使用自定义认证过滤器
spark.ui.filters&＃61;org.apache.spark.deploy.yarn.YarnProxyRedirectFilter,com.hundsun.broker.BasicAuthenticationFilter
spark.com.hundsun.broker.BasicAuthenticationFilter.param.username&＃61;spark
spark.com.hundsun.broker.BasicAuthenticationFilter.param.password&＃61;spark
spark.com.hundsun.broker.BasicAuthenticationFilter.param.realm&＃61;spark
//通过以下配置项&＃xff0c;开启 shs ui 的访问控制列表 acl
spark.history.ui.acls.enable&＃61;true
spark.history.ui.admin.acls&＃61;spark
spark.history.ui.admin.acls.groups&＃61;spark


• 注意在 CDH 平台中&＃xff0c;可能是由于 CM 自身启动 shs 的机制和背后配置机制等原因&＃xff0c;在 History Server 高级配置代码段中的配置项 “spark.ui.filters&＃61;org.apache.spark.deploy.yarn.YarnProxyRedirectFilter”&＃xff0c;在启动 shs 时并没有生效&＃xff0c;所以需要手动修改配置文件 spark-defaults.conf&＃xff0c;并手动通过命令行启动 shs&＃xff1a;

• 此时用户访问 shs ui 时需要提供认证信息&＃xff0c;只有提供了正确的用户名和密码才能访问 shs ui&＃xff08;用户名和密码通过后台参数 spark.com.hundsun.broker.BasicAuthenticationFilter.param.username/spark.com.hundsun.broker.BasicAuthenticationFilter.param.password&＃61;spark指定&＃xff0c;安全过滤器初始化时会读取这些参数&＃xff09;&＃xff1b;
• 此时只有使用访问控制列表中指定的用户和用户组&＃xff0c;才能查看 shs ui 中具体应用信息的详细信息&＃xff1b;