1.背景
1.1 共享Hadoop集群
当前大一点的公司都采用了共享Hadoop集群的模式,这种模式可以减小维护成本,且避免数据过度冗余,增加硬件成本。共享Hadoop是指:(1)管理员把研发人员分成若干个队列,每个队列分配一定量的资源,每个用户或者用户组只能使用某个队列中得资源;(2)HDFS上存有各种数据,有公用的,有机密的,不同的用户可以访问不同的数据。
共享集群类似于云计算或者云存储,面临的一个最大问题是安全。
1.2 几个概念
安全认证:确保某个用户是自己声称的那个用户。
安全授权:确保某个用户只能做他允许的那些操作
User:Hadoop用户,可以提交作业,查看自己作业状态,查看HDFS上的文件
Service:Hadoop中的服务组件,包括:namenode,jobtracker,tasktracker,datanode
1.3 Hadoop安全机制现状
Hadoop 一直缺乏安全机制,主要表现在以下几个方面:
(1) User to Service
[1] Namenode或者jobtracker缺乏安全认证机制
Client的用户名和用户组名由自己指定。
如果你不指定用户名和用户组,Hadoop会调用linux命令“whoami”获取当前linux用户名和用户组,并添加到作业的user.name和group.name两个属性中,这样,作业被提交到JobTracker后,JobTracker直接读取这两个属性(不经过验证),将该作业提交到对应队列(用户名/用户组与队列的对应关系由专门一个配置文件配置,详细可参考fair scheduler或者capacity scheduler相关文档)中。如果你可以控制你提交作业的那台client机器,你可以以任何身份提交作业,进而偷偷使用原本属于别人的资源。
比如:你在程序中使用以下代码:
conf.set(“user.name”, root);
conf.ser(“group.name”, root);
便可以以root身份提交作业。
[2] DataNode缺乏安全授权机制
用户只要知道某个block的blockID,便可以绕过namenode直接从datanode上读取该block;用户可以向任意datanode上写block。
[3] JobTracker缺乏安全授权机制
用户可以修改或者杀掉任意其他用户的作业;用户可以修改JobTracker的持久化状态。
(2) Service to service安全认证
Datanode与TaskTracker缺乏安全授权机制,这使得用户可以随意启动假的datanode和tasktracker,如:
你可以直接到已经启动的某个TaskTracker上启动另外一个tasktracker:
./hadoop-daemon.sh start datanode
(3)磁盘或者通信连接没有经过加密
2. Hadoop安全机制
为了增强Hadoop的安全机制, 从2009年起, Apache专门抽出一个团队,为Hadoop增加安全认证和授权机制,至今为止,已经可用。
Apache Hadoop 1.0.0版本和Cloudera CDH3之后的版本添加了安全机制,如果你将Hadoop升级到这两个版本,可能会导致Hadoop的一些应用不可用。
Hadoop提供了两种安全机制:Simple和Kerberos。Simple机制(默认情况,Hadoop采用该机制)采用了SAAS协议。 也就是说,用户提交作业时,你说你是XXX(在JobConf的user.name中说明),则在JobTracker端要进行核实,包括两部分核实,一是你到底是不是这个人,即通过检查执行当前代码的人与user.name中的用户是否一致;然后检查ACL(Access Control List)配置文件(由管理员配置),看你是否有提交作业的权限。一旦你通过验证,会获取HDFS或者mapreduce授予的delegation token(访问不同模块由不同的delegation token),之后的任何操作,比如访问文件,均要检查该token是否存在,且使用者跟之前注册使用该token的人是否一致。
注意:下面绝大多数安全机制都是基于Kerberos实现的。
3. RPC安全机制
在Hadoop RP中添加了权限认证授权机制。当用户调用RPC时,用户的login name会通过RPC头部传递给RPC,之后RPC使用Simple Authentication and Security Layer(SASL)确定一个权限协议(支持Kerberos和DIGEST-MD5两种),完成RPC授权。
具体参考:https://issues.apache.org/jira/browse/HADOOP-6419
4.HDFS安全机制
Client获取namenode初始访问认证(使用kerberos)后,会获取一个delegation token,这个token可以作为接下来访问HDFS或者提交作业的凭证。
同样,为了读取某个文件,client首先要与namenode交互,获取对应block的的block access token,然后到相应的datanode上读取各个block,而datanode在初始启动向namenode注册时,已经提前获取了这些token,当client要从TaskTracker上读取block时,首先验证token,通过后才允许读取。
5. MapReduce安全机制
【Job Submission】
所有关于作业的提交或者作业运行状态的追踪均是采用带有Kerberos认证的RPC实现的。授权用户提交作业时,JobTracker会为之生成一个delegation token,该token将被作为job的一部分存储到HDFS上并通过RPC分发给各个TaskTracker,一旦job运行结束,该token失效。
【Task】
用户提交作业的每个task均是以用户身份启动的,这样,一个用户的task便不可以向TaskTracker或者其他用户的task发送操作系统信号,最其他用户造成干扰。这要求为每个用户在所有TaskTracker上建一个账号。
【shuffle】
当一个map task运行结束时,它要将计算结果告诉管理它的TaskTracker,之后每个reduce task会通过HTTP向该TaskTracker请求自己要处理的那块数据,Hadoop应该确保其他用户不可以获取map task的中间结果,其做法是:reduce task对“请求URL”和“当前时间”计算HMAC-SHA1值,并将该值作为请求的一部分发动给TaskTracker,TaskTracker收到后会验证该值的正确性。
6.WebUI安全机制
这一块需要针对每个用户单独配置。
7.高层服务的安全机制
你可能会在Hadoop之上使用Oozie,HBase,Cassandra等开源软件,为此,你需要在这几个软件的配置文件和Hadoop配置文件中添加权限,具体方法参考:https://ccp.cloudera.com/display/CDHDOC/CDH3+Security+Guide
8.总结
下面对Hadoop在安全方面的改动进行汇总:
(1) HDFS
命令行不变,WEB UI添加了权限管理
(2) MapReduce添加了ACL
包括:
管理员可在配置文件中配置允许访问的user和group列表
用户提交作业时,可知道哪些用户或者用户组可以查看作业状态,使用参数-D mapreduce.job.acl-view-job
用户提交作业时,可知道哪些用户或者用户组可以修改或者杀掉job,使用参数:-D mapreduce.job.acl-modify-job
(3)MapReduce系统目录(即:mapred.system.dir,用户在客户端提交作业时,JobClient会将作业的job.jar,job.xml和job.split等信息拷贝到该目录下)访问权限改为700
(4)所有task以作业拥有者身份运行,而不是启动TaskTracker的那个角色,这
使用了setuid程序(C语言实现)运行task。 【注】如果你以hadoop用启动了Hadoop集群,则TaskTracker上所有task均以hadoop用户身份运行,这很容易使task之间相互干扰,而加了安全机制后,所有task以提交用户的身份运行,如:用户user1提交了作业,则它的所有task均以user1身份运行。
(5)Task对应的临时目录访问权限改为700
(6)DistributedCache是安全的
DistribuedCache分别两种,一种是shared,可以被所有作业共享,而private的只能被该用户的作业共享。
9.有用的资料
(1)Map and Reduce tasks should run as the user who submitted the job
(2)Security features for Map/Reduce
(包含一个pdf文件,里面有关于Hadoop安全机制的详细说明)
(3)Hadoop Security DesignJust Add Kerberos? Really?
(4)hadoop-security-preview
(5)hadoop-security indetails in hadoop summit 2010
(6) 安装Hadoop Kerbores方法
Hadoop安全机制介绍
京公网安备 11010802041100号