整套大数据学习资料(视频+笔记)百度网盘无门槛下载:http://www.edu360.cn/news/content?id=3377

9.6 安全性

hadoop 小红牛 11℃ 0评论

早期版本的Hadoop假定HDFS和MapReduce集群运行在安全环境中,由一组相互合作的用户所操作,因而访问控制措施的目标是防止偶然的数据丢失,而非阻止非授权的数据访问。例如,HDFS中的文件许可模块会阻止
用户由于程序漏洞而毁坏整个文件系统,也会阻止运行不小心输入的 hadoop fs -rmr
/指令,但却无法阻止某个恶意用户假冒root身份(参见 5.2.2节的补充内容“设置用户标识”)来访问或删除集群中的某些数据。’

从安全角度分析,Hadoop缺乏一个安全的认_证机制,以确保正在操作集群
的用户恰是所声称的安全用户。Hadoop的文^牛许可模块只提供一种简单的 认证机制来决定各个用户对特定文件的访问权限。例如,某个文件的读权
限仅开放给某一组用户,从而阻止其他用户组的成员读取该文件。然而, 这种认证机制仍然远远不够,恶意用户只要能够通过网络访问集群,就有
可能伪造合法身份来攻击系统。

包含个人身份信息的数据(例如终端用户的全名或IP地址)非常敏感。一般情况下,需要严格限制组织内部的能够访问这类信息的员工数。相比之下,敏感性不强(或匿名化)的数据则可以开放给更多用户。如果把同一集群
上的数据划分不同的安全级别,在管理上会方便很多,且低安全级别的数 据也能够被广泛共享。然而,为了迎合数据保护的常规需求,共享集群的
安全认证是不可或缺的。

雅虎公司在2009年就遇到了该难题,因此组织了一个工程师团队来实现
Hadoop的安全认证。这个团队提出了一个方案:用Kerberos(—个成熟的
开源网络认证协议)实现用户认证,Hadoop不直接管理用户隐私,而
Kerberos也不关心用户的授权细节。换句话说,Kerberos的职责在于鉴定登录帐号是否是他所声称的用户,Hadoop则决定该用户到底拥有多少权限。Kerberos技术比较复杂,因此这里只介绍在Hadoop系统中的用法。若
想了解更多背景,可以参阅Jason Garman的《Kerberos权威指南》 (Kerberos: The Definitive
Guide)

哪些Hadoop版本支持Kerberos认证?

自从0.20.20x版本之后,Apache Hadoop开始支持Kerberos认证。参见表 1-2可查看支持此特性的新近版本。

转载请注明:全栈大数据 » 9.6 安全性

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址