Hdfs的ACL测试

最新推荐文章于 2024-03-11 06:30:00 发布
最新推荐文章于 2024-03-11 06:30:00 发布
阅读量7.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Hadoop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/j2eelamp/article/details/24594159

Hadoop从2.4.0版本开始支持hdfs的ACL,在CDH5.0当中也集成了该特性,下面对其进行一些测试:

unnamed user (file owner)
 文件的拥有者
unnamed group (file group)
 文件的所属
named user
 除了文件的拥有者和拥有组之外,的其它用户
named group
 除了文件的拥有者和拥有组之外,的其它用户
mask 
 权限掩码,用于过滤named user和named group的权限

一、启用ACL:

<property>
<name>dfs.permissions.enabled</name>
<value>true</value>
</property>
<property>
<name>dfs.namenode.acls.enabled</name>
<value>true</value>
</property>

二、测试ACL:


[hadoop@master ~]$ groups
hadoop
创建目录并上传文件:
[hadoop@master ~]$ hadoop fs -mkdir /input/acl
[hadoop@master hadoop]$ hadoop fs -put conf/yarn-site.xml /input/acl
[hadoop@master hadoop]$ hadoop fs -ls /input/acl
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml
[hadoop@master ~]$ hadoop fs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
other::r-x

同一组的成员有读权限,没有写权限:
[mapred@master ~]$ groups
hadoop
[mapred@master ~]$ hadoop fs -ls /input/acl
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml
[mapred@master hadoop]$ hadoop fs -put conf/capacity-scheduler.xml /input/acl
put: Permission denied: user=mapred, access=WRITE, inode="/input/acl":hadoop:supergroup:drwxr-xr-x

设置mapred用户只读:
[hadoop@master ~]$ hdfs dfs -setfacl -m user:mapred:r-- /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
user:mapred:r--
group::r-x
mask::r-x
other::r-x


执行权限被拒绝:
[hadoop@master ~]$ logout
[root@master ~]# su - mapred
[mapred@master ~]$ hadoop fs -ls /input/acl
ls: Permission denied: user=mapred, access=READ_EXECUTE, inode="/input/acl":hadoop:supergroup:drwxr-xr-x:user:mapred:r--,group::r-x

移除acl:
[hadoop@master ~]$ hdfs dfs -setfacl -x user:mapred /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
mask::r-x
other::r-x

重新拥有执行权限,因为mapred是hadoop用户组中的:
[mapred@master ~]$ hadoop fs -ls /input/acl/yarn-site.xml
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml

定义在owner、other里的权限一直都是有效的,其它权限可能用效或者被隐蔽。

named user与named group的值是否生效,还要看其值与mask的“与”值,即mask也要有该权限,才能生效。

mask是用于过滤named user与named group的权限的,可以通过chmod改变

如:在给同组的其它用户,其它组的用户或组添加acl时,如果给的权限比当前mask大,则mask会随之更新:

[hadoop@master ~]$ hdfs dfs -getfacl /input/acl        【初始权限】
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
mask::r-x
other::r-x
[hadoop@master ~]$ hdfs dfs -setfacl -m user:mapred:rwx /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl            【mapred用户拥有rwx权限,但mask为r-x,则mask自动改为rwx】
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
user:mapred:rwx
group::r-x
mask::rwx
other::r-x

但所属组的用户权限不受影响: 

[hadoop@master ~]$ hadoop fs -chmod g-x /input/acl        【取消同一用户组的可执行权限,并更新mask的值】
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x	#effective:r--
group:apache:rwx	#effective:rw-
mask::rw-
other::r-x
[hadoop@master ~]$ logout
[root@master ~]# su - mapred
[mapred@master ~]$ hadoop fs -ls /input/acl                【上一步取消同一用户组的可执行权限,但没有生效,因为mapred和hadoop属于同一组】
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml




大数据领域 HDFS 安全机制详解
AGI×大数据,开启智能时代的认知跃迁;解码AGI,赋能数据驱动的智能革命。
05-31 963
随着大数据时代的到来,数据的存储和管理面临着越来越多的安全挑战。HDFS 作为 Hadoop 生态系统中最核心的分布式文件系统,其安全机制对于保护大数据的完整性、可用性和保密性至关重要。本文的目的是详细介绍 HDFS 的安全机制,包括认证、授权、加密等方面的内容,帮助读者深入理解 HDFS 如何确保数据在分布式环境下的安全。文章的范围涵盖了 HDFS 安全机制的基本原理、具体实现方式以及实际应用案例等。本文将按照以下结构进行组织:首先介绍 HDFS 安全机制的核心概念与联系,包括相关的架构和流程;
Hadoop-2.4.1学习之HDFS文件权限ACL
skyWalker_ONLY
11-02 1万+
之前在论坛看到一个关于HDFS权限的问题,当时无法回答该问题。无法回答并不意味着对HDFS权限一无所知,而是不能准确完整的阐述HDFS权限,因此决定系统地学习HDFS文件权限HDFS的文件和目录权限模型共享了POSIX(Portable Operating System Interface,可移植操作系统接口)模型的很多部分,比如每个文件和目录与一个拥有者和组相关联,文件或者目录对于拥有者、组内
大数据入门(Hadoop简介、Hadoop伪分布式安装、HDFS相关概念及shell操作和Java API操作)
郑清
02-27 841
一、HADOOP简介 1、为什么需要Hadoop? 从一个例子开始,现在我们业务系统通过nginx转发tomcat,所有用户都通过访问Nginx访问我们的功能,Nginx为我们记录了accessLog,我们可以分析这些日志来挖掘一些用户行为。为网站运营提供统计支持。 Flume Agent:做日志收集 HDFS:类似于fastDFS一样的文件管理系统(这里是存储上面收集的日志信息) MAPRE...
hdfs api基本操作
fantasticqiang的博客
05-31 573
以下是hadoop 基本API使用,包括文件上传,文件下载,查看文件目录,创建文件夹,删除文件。package com.lqq.hadoop; import java.io.ByteArrayOutputStream; import java.io.InputStream; import org.apache.hadoop.conf.Configuration; import org.apac...
HDFS文件权限ACL访问控制
大怀特的博客
10-15 3165
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
HDFS ACL权限的存储与获取源码分析
sx157559322的博客
07-25 291
前言我们都知道HDFS 权限除了基础权限还有ACL权限,但是当我们获取Fsimage镜像文件时只能看到基础权限信息看不到ACL权限信息,那么ACL权限信息是如何获取与存储的呢?大概的总结是:为了节省内存,这里的ACL其实是以整型数组的形式存储在INode节点中的,而且还有单独的user、group的Map对象与之关联,只不过这里面涉及到了一些运算。因hadoop源码非常复杂,下面只解析ACL权...
hdfs权限控制部分指令
Yrz7746321的博客
06-12 446
hdfs dfs -getfacl <path> hdfs dfs -getfacl -m <path> # 查询目录的ACL规则 hdfs dfs -getfacl /user # 为指定user添加权限(user名为hadoo) hdfs dfs -setfacl -m user:hadoop:rwx /user # 为指定group添加权限(group名为group) hdfs dfs -setfacl -m group:hadoop:rwx /user # 删除指..
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 250
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
HDFS的架构优势与基本操作
阿莫夕林的博客
03-11 4430
如今,数据正以指数级增长,各行各业都在追求更多的数据存储、高效的数据处理和可靠的数据基础来驱动业务的发展。Hadoop Distributed File System(HDFS)作为Hadoop生态系统的核心组件之一,成为构建可靠的大数据基础的不二选择之一。本文将深入剖析HDFS的架构与优势。
【Hadoop-HDFS-S3】HDFS 和存储对象 S3 的对比
weixin_53543905的博客
01-03 2175
虽然 Apache Hadoop 以前都是使用 HDFS 的,但是当 Hadoop 的文件系统的需求产生时候也能使用 S3。之前的工作经历中的大数据集群存储都是用HDFS,当前工作接触到对象存储S3,在实践中比较两者的不同之处。
hadoop fs 命令详解
JacksonKing的专栏
11-23 1379
hadoop fs 命令 Most of the commands in FS shell behave like corresponding Unix commands. Differences are described with each of the commands. Error information is sent to stderr and the output is sent to stdout. If HDFS is being used,hdfs dfsis a synonym..
HDFS】转载:HDFS 特殊权限
Mrerlou的博客
12-10 529
一、前言 之前对HDFS更或者说是对Linux中文件的权限没有进行一个完整的学习,只是知道有所有者、所属组和其它权限,具体到某个人的权限有读®、写(w)和可执行(x)。 二、HDFS基于Linux Posix model HDFS权限虽然是基于Linux的POSIX model,但是HDFS中其实并没有真正的用户和组的概念,只是从主机上拿到用户的信息然后对其存储的文件权限进行检查。 HDFS中每个文件和目录都有一个owner和group,并对owner、owner同一个组的user和其它user的权限
Hadoop_Hdfs ACL 权限控制详解
迎难而上
05-04 1万+
开启ACL权限控制 Hadoop HDFS 默认没有使用 ACL 权限控制机制。这里介绍下如何开启 hdfs权限控制机制。 第一次使用需要修改hdfs-site.xml 把以下配置加进hdfs-site.xml 中, 并重启NameNode. dfs.namenode.acls.enabled true        我们主要是通过  setfacl  getfacl  这两个指令
一篇文章搞懂HDFS管理权限
小米云技术
06-14 8260
小米的HDFS承载了公司内多个部门几十条业务线的几十PB数据,这些数据有些是安全级别非常高的用户隐私数据,也有被广泛被多个业务线使用的基础数据,不同的业务之间有着复杂的数据依赖。因此,如何管理好这些数据的授权,并尽可能自动化低成本的做好权限管理,是很重要的一部分工作。本文系统的描述了HDFS权限管理体系中与用户关联最紧密的授权相关内容,希望通过本文让大家对权限管理有一个清晰的了解。 HDFS的权...
Hadoop 2.7.5命令 (1)
weixin_30635053的博客
03-20 235
概述: 文件系统(FS)shell包含各种类似shell的命令,可直接与Hadoop分布式文件系统(HDFS)以及Hadoop支持的其他文件系统(如Local FS,HFTP FS,S3 FS等)交互。FS外壳的调用方式如下: hadoop fs <args> 所有FS shell命令都将路径URI作为参数。URI格式是sche...
HDFS的常用命令
博樽
03-22 1325
上传,下载,改权限,创建,删除
hadoop hdfs dfs 命令讲解
热门推荐
梁小明的博客
05-23 5万+
hdfs dfs命令 appendToFile Usage: hdfs dfs -appendToFile  ...  追加一个或者多个文件到hdfs制定文件中.也可以从命令行读取输入. · hdfs dfs -appendToFile localfile /user/hadoop/hadoopfile · hdfs dfs -appendToFile localfile1 localf
hdfsacl权限控制
我是明星的专栏
06-10 1304
ACL(Access Control Lists,访问控制列表),Hadoop中的acl与unix中的acl机制(posix模型)基本相同,可以为文件或目录提供更精细化的权限访问控制。 对于每个文件或目录而言,权限管理分为3个不同的用户类:owner,group和others。每个用户类有3种不同的访问权限:read,write,execute。 当一个用户试图访问一个文件系统对象时,hdfs会根据该用户所对应的权限进行验证:如果该用户是其所有者(owner),那么hdfs将检查owner类权限;如果.
hdfs dfs 命令在cron 不执行
最新发布
03-22
<think>好的,我现在需要解决用户提到的HDFS DFS命令在Cron中不执行的问题。首先,我需要理解用户的问题场景。用户可能在Cron作业中设置了hdfs dfs相关的命令,比如上传或下载文件,但发现这些命令没有按预期执行。接下来,我需要考虑可能的原因,并逐一分析可能的解决方案。 首先,环境变量的问题。Cron执行任务时,环境可能与用户登录时的环境不同。用户可能在终端中可以正常执行hdfs命令,因为终端加载了用户的bashrc或profile中的环境变量,比如HADOOP_HOME、HADOOP_CONF_DIR等。但Cron默认使用最小环境,可能缺少这些变量,导致找不到hdfs命令。因此,解决方案可能是在Cron脚本中显式设置这些环境变量,或者在执行命令时使用绝对路径。 其次,权限问题。Cron任务通常以当前用户的身份运行,但如果权限不足,比如用户没有写入HDFS权限,或者HDFS目录的权限设置不正确,会导致命令执行失败。用户可能需要检查HDFS权限设置,或者使用适当的用户身份运行Cron任务,比如通过sudo或者设置HDFSACL。 第三,路径问题。hdfs命令可能位于特定的目录下,如/usr/local/hadoop/bin,而这个目录不在Cron的PATH环境变量中。因此,用户需要指定hdfs的全路径,或者在Cron脚本中设置PATH变量。 第四,错误处理与日志记录。Cron任务如果没有正确捕获输出和错误信息,用户可能无法看到具体的错误原因。建议用户将标准输出和错误重定向到日志文件,以便后续排查。例如,在Cron命令中添加 >> /path/to/logfile 2>&1。 另外,可能需要检查HDFS服务本身的运行状态。如果Cron执行时HDFS服务未启动,或者存在网络问题,命令也会失败。用户可以在脚本中添加检查服务状态的步骤,或者在执行前等待服务启动。 还有,SELinux或防火墙设置可能阻止Cron执行某些命令。需要检查这些安全设置是否允许hdfs命令的执行。 最后,用户提供的引用中有提到HDFS权限不足的问题[^4],这可能与当前情况相关。需要确保执行Cron任务的用户有足够的权限访问HDFS中的目标路径,可能需要修改目录权限或使用合适的用户身份执行命令。 总结可能的原因和对应的解决方案: 1. 环境变量缺失:设置PATH和Hadoop相关变量,或使用绝对路径。 2. 权限问题:检查HDFS目录权限和用户权限。 3. 路径问题:使用全路径执行hdfs命令。 4. 日志记录:重定向输出以查看错误信息。 5. 服务状态:确保HDFS服务在Cron执行时可用。 6. 安全策略:检查SELinux或防火墙设置。 接下来,需要将这些分析整理成结构化的回答,确保用户能逐步排查问题。</think>### HDFS DFS命令在Cron中不执行的原因及解决方案 #### 原因分析 1. **环境变量缺失** Cron任务默认使用最小化环境变量,可能缺少Hadoop相关配置(如`HADOOP_HOME`、`JAVA_HOME`等),导致无法定位`hdfs`命令[^2][^4]。 2. **绝对路径未指定** `hdfs`命令可能未加入系统`PATH`变量,Cron执行时无法找到该命令[^2]。 3. **权限问题** - **用户权限**:Cron任务可能以其他用户身份(如`root`)运行,而该用户无权限执行`hdfs`命令或访问HDFS路径。 - **HDFS权限**:目标目录的HDFS权限不足(如用户无写权限),导致操作失败[^4]。 4. **日志输出未捕获** Cron任务的错误信息未记录到日志文件,难以定位具体问题[^2]。 5. **服务依赖问题** Cron执行时HDFS服务未启动,或网络不可达。 --- #### 解决方案步骤 1. **指定完整命令路径** 使用`hdfs`命令的绝对路径(如`/usr/local/hadoop/bin/hdfs`),避免依赖环境变量。 **示例Cron任务**: ```bash * * * * * /usr/local/hadoop/bin/hdfs dfs -put /local/file /hdfs/path >> /tmp/hdfs_cron.log 2>&1 ``` 2. **显式设置环境变量** 在Cron脚本中加载Hadoop环境变量,例如: ```bash * * * * * source /home/hadoop/.bashrc && /usr/local/hadoop/bin/hdfs dfs -ls / ``` 3. **检查权限配置** - **系统用户**:确保Cron任务以Hadoop服务用户(如`hadoop`)运行。可通过`crontab -u hadoop -e`配置。 - **HDFS权限**: 使用`hdfs dfs -chmod`或`hdfs dfs -chown`调整目标目录权限。例如: ```bash hdfs dfs -chmod 777 /target_dir # 开放所有用户权限测试环境建议) ``` 4. **记录详细日志** 在Cron命令中重定向标准输出和错误到文件: ```bash * * * * * /path/to/hdfs dfs -command >> /path/to/logfile 2>&1 ``` 5. **验证服务状态** 在脚本中添加服务检查逻辑: ```bash #!/bin/bash if hdfs dfsadmin -report > /dev/null; then hdfs dfs -command else echo "HDFS服务不可用" >> /tmp/hdfs_error.log fi ``` --- #### 附加排查建议 - **手动测试Cron环境** 临时添加一个Cron任务输出环境变量,检查关键路径是否包含Hadoop配置: ```bash * * * * * env > /tmp/cron_env.log ``` - **检查SELinux/防火墙** 若系统启用了SELinux或防火墙,需确认其未拦截HDFS操作: ```bash setenforce 0 # 临时关闭SELinux(仅测试用) systemctl stop firewalld # 临时关闭防火墙 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值