HDFS ACL权限设置

最新推荐文章于 2024-11-27 14:52:59 发布
原创 最新推荐文章于 2024-11-27 14:52:59 发布 · 2.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HDFS

HDFS版本:3.1.1

今天主要给大家说一下HDFS文件权限的问题。当一个普通用户去访问HDFS文件时,可能会报Permission denied的错误。那么你会怎么做呢?

像修改linux文件似的,可能的做法有:

  • 修改文件所有者
  • 直接将文件赋予全部的权限,即rwx权限。

上面的做法虽然可以达到目的,但是相对来说对权限的把握不是很精准,不适用于生产环境。

本文主要讲解HDFS的ACL(Access Control List)权限,通过hdfs超级用户,来为普通用户分配权限。

一、背景

如下图所示,我使用hue用户想创建一个简单的hive表。由于hue用户对/warehouse/tablespace/managed/hive目录没有权限,所以创建失败了。

这里就用到了HDFS的ACL权限设置。

二、前提条件

需要确定hdfs-site.xml文件的两个配置项为true

<property>
    <name>dfs.permissions.enabled</name>
    <value>true</value>
</property>
<property>
    <name>dfs.namenode.acls.enabled</name>
    <value>true</value>
</property>

三、语法

1. setfacl
Usage: hdfs dfs -setfacl -R|[--set <acl_spec> <path>]

设置文件和目录的访问控制列表(ACL)。

选项:

  • -b: 删除基本ACL条目以外的所有条目。保留用户,组和其他条目以与权限位兼容。
  • -k: 删除默认ACL。default
  • -R: 以递归方式将操作应用于所有文件和目录。常用。
  • -m: 修改ACL。新条目将添加到ACL,并保留现有条目。常用。
  • -x: 删除指定的ACL条目。保留其他ACL条目。常用。
  • –set: 完全替换ACL,丢弃所有现有条目。 acl_spec必须包含用户,组和其他条目,以便与权限位兼容。
  • acl_spec: 逗号分隔的ACL条目列表。
  • path: 要修改的文件或目录。

示例:

  • hdfs dfs -setfacl -m user:hadoop:rw- /file
  • hdfs dfs -setfacl -x user:hadoop /file
  • hdfs dfs -setfacl -b /file
  • hdfs dfs -setfacl -k /dir
  • hdfs dfs -setfacl --set user::rw-,user:hadoop:rw-,group::r–,other::r-- /file
  • hdfs dfs -setfacl -R -m user:hadoop:r-x /dir
  • hdfs dfs -setfacl -m default:user:hadoop:r-x /dir
2. getfacl
Usage: hdfs dfs -getfacl [-R] <path>

显示文件和目录的访问控制列表(ACL)。如果目录具有默认ACL,则getfacl还会显示默认ACL。

选项:

  • -R: 以递归方式列出所有文件和目录的ACL。
  • path: 要列出的文件或目录。

示例:

  • hdfs dfs -getfacl /file
  • hdfs dfs -getfacl -R /dir

四、为hue用户赋予权限

使用hdfs超级用户来设置acl:使用-m参数

sudo -u hdfs hdfs dfs -setfacl -m user:hue:rwx /warehouse/tablespace/managed/hive

查看文件目录的acl权限:

hdfs dfs -getfacl /warehouse/tablespace/managed/hive

文件acl权限如下图所示:

现在hue用户就对/warehouse/tablespace/managed/hive这个目录有了rwx全部权限了。

我们使用hue用户创建hive表试试,成功了,如下图所示:

备注:

不过是仅限于hive这个目录,对于里面不是hue用户创建的目录或文件,hue用户还是无权访问。

如果需要访问递归的子文件,可以使用-R参数,再次授权。

五、总结

其实这次分享的知识点很简单,但是却很实用。就安全的角度来看,比起chmod 777来说,也比较严谨。

还是希望大家多多练习本文讲述的两个命令:

  • setfacl
  • getfacl

看看这两个命令的其它参数具体什么意思。

关于HDFS shell命令,可以查看官网链接:http://hadoop.apache.org/docs/r2.6.5/hadoop-project-dist/hadoop-common/FileSystemShell.html

码字不易,如果您觉得文章写得不错,请扫码关注公众号支持作者~ 您的关注是我写作的最大动力?

HDFS文件权限ACL访问控制——高效大数据管理
DevEnigma的博客
09-17 369
本文介绍了HDFS文件权限ACL访问控制的实现原理,并提供了相应的Java代码示例。通过设置文件权限和使用ACL访问控制,可以对HDFS中的数据进行安全管理和访问控制,保护大数据的安全性和完整性。在实际应用中,可以根据企业的具体需求和安全策略,灵活配置和管理HDFS文件的权限和访问控制。本文将详细介绍HDFS文件权限ACL访问控制的实现原理,并提供相应的源代码示例。希望本文能够帮助读者更好地理解和应用HDFS文件权限ACL访问控制,在大数据管理中取得更高效、安全的成果。文件中进行相应的配置。
Hdfs文件权限ACL访问控制
zhengzaifeidelushang的博客
05-14 398
Hdfs文件权限ACL访问控制一、getfacl查看hdfs目录权限二、setfacl设置权限三、设置用户权限四、设置权限五、为目录设置默认ACL权限六、递归创建目录权限七、实例:赋予zeppelin用户读写目录权限八、补充:hdfs-site.xml打开权限检查九、补充:改变文件或目录所属的用户和用户组 一、getfacl查看hdfs目录权限 hdfs dfs -getfacl /test/zeppelin user::rwx group::r-x other::--- 二、setfacl设置权限
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 293
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
hdfs 设置权限
m0_56618365的博客
10-23 266
【代码】hdfs 设置权限
HDFS权限
叁木大数据
09-08 2563
HDFS权限 一、HDFS权限简介 Hdfs权限管理分为2大部分: 第一部分类似于Linux的基本权限管理,也就是粗粒度将管理对象分为user、group和other三类去进行权限的管理。 第二部分是ACL方式的权限管理,也是更加细粒度的权限管理,可以精确控制到某个user与某个group具有的对应权限上。 注:hadoop2.4.0版本开始支持hdfsACL 二、HDFS 基本权限管理 2.1 初始目录权限 当我们创建文件或者目录的时候可以指定权限,没有指定的话就会使用默认的权限。 文件默认权限
HDFS ACL权限控制
争当鲲鹏飞万里 不做燕雀恋子巢
03-29 924
默认umask是022,即目录是755,文件644 hdfs acl权限生效的算法规则 (1)如果是owner,则取owner的权限 (2)如果针对用户设置ACL,则用户的ACL生效 (3)如果用户在组里,则取各组ACL的并集 (4)其他情况,取other的权限 (5)default权限设置default之后,对新添加的文件和目录生效,对于现有的文件和目录不生效。 如:目录...
HDFS系统权限详解
菜菜的博客
11-06 3499
HDFS文件系统的超级用户:是启动namenode的用户(也就是课程的hadoop用户)在HDFS中,可以使用和Linux一样的授权语句,即:chown和chmod。HDFS中,也是有权限控制的,其控制逻辑和Linux文件系统的完全一致。但是不同的是,两个系统的Supergroup不同(超级用户不同)启动namenode的用户就是HDFS中的超级用户。比如如下,root用户就是没有权限的。Linux的操作用户是root。
hdfs同步sentry权限到文件系统acl异常,导致hdfs acl权限全部丢失
appleYQL的博客
11-27 966
集群是CDH6.2.0,权限使用sentry鉴权,一次hadoop修改配置重启后出现,无论是使用hive客户端还是直接加载文件进去都是提示文件权限问题,使用访问hiveserver2的服务是正常的(hiveserver2正常应该是鉴权是在sentry,鉴权完成后使用hive用户访问),查看了sentry上面的赋权,权限是正常的,再查看hdfs文件系统上面的目录和文件,发现acl权限全部丢失。
hdfs sentry acl权限同步失效
wflh323的专栏
05-10 2858
集群开启hdfs sentry acl权限同步,一直很稳定的运行,某天突然出现hive权限问题,hive通过hs2 访问的不受影响,hive cli访问全部失败(不推荐使用hive cli 命令),其它任务访问hive表路径失败,用hdfs getfacl命令查看,权限同步目录acl全部失效,集群基本无法访问,查看sentry,hive正常, 日志都没有异常信息,查看namenode日志出...
Hadoop 2.7.5命令 (1)
weixin_30635053的博客
03-20 265
概述: 文件系统(FS)shell包含各种类似shell的命令,可直接与Hadoop分布式文件系统HDFS)以及Hadoop支持的其他文件系统(如Local FS,HFTP FS,S3 FS等)交互。FS外壳的调用方式如下: hadoop fs <args> 所有FS shell命令都将路径URI作为参数。URI格式是sche...
HDFS基于ACL权限控制
专注技术交流、咨询
12-19 1038
一、开起ACL权限开关 (1)如果是Apache Hadoop:修改hdfs-site.xml的配置,并重启                     dfs.namenode.acls.enabled            true          (2)如果是CDH,登陆Cloudera Manager,选中HDFS,点击【配置】,在搜索栏中输入acl进行搜索,将【启用访问控制列
HdfsACL 基本理解
Axel_Fran的博客
03-29 1040
首先ACL (access control list) 中文 “权限访问控制列表”, 简单来说,就是记录 HDFS 的文件或者文件夹 针对 owner,group, others 三个角色的权限是什么(xrw) 类似于,我们常常查看文件的权限 ll 命令, 有九位 比如:xrw--x-r hdfs 默认是开启文件访问权限的,就是按照rwx 来进行判断是否有读写执行权限。然后根据用户拥有者, 同组用户, 非同组用户 来进行权限管理 然而ACL 是一个对于HDFS 的可选启动项, 目的: 制定 “除.
HDFS文件权限ACL访问控制
大怀特的博客
10-15 3299
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
HDFSacl和linux的acl机制
shursulei的博客
05-05 359
一、HDFS权限设置acl分配 官网参考地址:http://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-hdfs/HdfsPermissionsGuide.html#Configuration_Parameters 1、ACL权限和linux的权限是对应的 ​ hdfs dfs -getfacl -R /test...
HDFS ACL操作实战
枫叶的记忆
04-27 2952
HDFS的文件ACL(Access Control Lists),类似于POSIX ACL(Linux使用ACL来管理文件权限)。 首先参数上要开启基本权限和访问控制列表功能,在CDH 5.2中,默认的参数dfs.namenode.acls.enabled为false。 12345678    dfs.permissions.enabled    true    dfs.namenod
大数据运维学习笔记之HDFS存储权限ACL控制策略、系统权限整合应用——筑梦之路
筑梦之路
07-04 259
大数据运维学习笔记hdfs权限控制策略ACL
HDFS ACL权限的存储与获取源码分析
sx157559322的博客
07-25 325
前言我们都知道HDFS 权限除了基础权限还有ACL权限,但是当我们获取Fsimage镜像文件时只能看到基础权限信息看不到ACL权限信息,那么ACL权限信息是如何获取与存储的呢?大概的总结是:为了节省内存,这里的ACL其实是以整型数组的形式存储在INode节点中的,而且还有单独的user、group的Map对象与之关联,只不过这里面涉及到了一些运算。因hadoop源码非常复杂,下面只解析ACL...
Hadoop_Hdfs ACL 权限控制详解
热门推荐
迎难而上
05-04 1万+
开启ACL权限控制 Hadoop HDFS 默认没有使用 ACL 权限控制机制。这里介绍下如何开启 hdfs权限控制机制。 第一次使用需要修改hdfs-site.xml 把以下配置加进hdfs-site.xml 中, 并重启NameNode. dfs.namenode.acls.enabled true        我们主要是通过  setfacl  getfacl  这两个指令
hdfs文件权限
最新发布
05-09
<think>好的,用户想了解HDFS文件权限设置修改,以及解决相关的权限问题。我需要结合提供的引用内容,整理出一个清晰的回答结构。首先,HDFS权限机制类似于Linux,有rwx权限,用户、组和其他。可能需要先解释基本概念,然后讲如何查看权限,再讲如何修改权限,比如chmod、chown这些命令。用户可能还遇到权限不足的问题,需要给出解决方法,比如临时设置777权限,但要注意安全问题。引用中提到HDFS权限目的是防止好人做错事,所以权限管理更多是内部规范,而不是强安全措施。还要注意,HDFS客户端会根据当前系统用户来设置owner,所以如果用户和namenode上的用户不一致,可能会有问题,需要添加相同用户。另外,引用里提到HDFS不支持setuid/setgid,这点可能需要提到。最后生成相关问题,比如权限机制与Linux的区别,权限不足的解决办法,安全建议等。需要确保步骤清晰,命令示例正确,并且引用对应的参考资料。</think>### HDFS文件权限设置修改指南 HDFS文件权限机制采用与Linux相似的POSIX模型,通过用户(user)、组(group)和其他用户(others)三个维度进行权限控制[^1]。以下是具体操作步骤: #### 一、权限查看与基本概念 1. **查看文件权限**: ```bash hdfs dfs -ls /path ``` 输出示例:`drwxrwx--- - lisa supergroup 0 2023-08-01 10:00 /input` - 第一位`d`表示目录 - 后三组`rwx`分别对应用户、组、其他用户的权限 2. **权限符号说明**: - `r`:读取(查看文件/列表目录内容) - `w`:写入(创建/删除文件) - `x`:执行(访问子目录,对文件无意义) #### 二、权限修改操作 1. **修改权限值(chmod)**: ```bash # 设置目录所有用户可读可写 hdfs dfs -chmod -R 777 /testdata # 移除其他用户执行权限 hdfs dfs -chmod o-x /logs/access.log ``` - `-R`表示递归操作[^3] - 数字模式(777=rwxrwxrwx)或符号模式(u+rwx)均可使用[^2] 2. **修改文件所有者(chown)**: ```bash hdfs dfs -chown -R hadoopuser:devgroup /projects ``` - 需确保目标用户在NameNode服务器上存在[^4] #### 三、常见问题解决方案 1. **写入权限被拒绝**: ```bash # 临时解决方案(生产环境慎用) hdfs dfs -chmod -R 777 /targetdir ``` 更安全的做法是精准设置权限: ```bash hdfs dfs -chmod -R 750 /sensitive_data # 所有者读写执行,同组用户读执行 ``` 2. **跨节点用户同步**: - 在**所有NameNode节点**创建相同用户: ```bash useradd hadoopuser && usermod -g devgroup hadoopuser ``` - 确保客户端执行用户与HDFS用户一致[^4] #### 四、特殊限制说明 1. HDFS不支持`setuid/setgid`权限位 2. 默认未启用POSIX ACL(需手动配置) 3. 权限验证基于客户端声明的用户身份[^1]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

create17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值