Hdfs的ACL测试

最新推荐文章于 2025-02-26 09:01:35 发布
原创 最新推荐文章于 2025-02-26 09:01:35 发布 · 7.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Hadoop从2.4.0版本开始支持hdfs的ACL,在CDH5.0当中也集成了该特性,下面对其进行一些测试:

unnamed user (file owner)
 文件的拥有者
unnamed group (file group)
 文件的所属
named user
 除了文件的拥有者和拥有组之外,的其它用户
named group
 除了文件的拥有者和拥有组之外,的其它用户
mask 
 权限掩码,用于过滤named user和named group的权限

一、启用ACL:

<property>
<name>dfs.permissions.enabled</name>
<value>true</value>
</property>
<property>
<name>dfs.namenode.acls.enabled</name>
<value>true</value>
</property>

二、测试ACL:


[hadoop@master ~]$ groups
hadoop
创建目录并上传文件:
[hadoop@master ~]$ hadoop fs -mkdir /input/acl
[hadoop@master hadoop]$ hadoop fs -put conf/yarn-site.xml /input/acl
[hadoop@master hadoop]$ hadoop fs -ls /input/acl
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml
[hadoop@master ~]$ hadoop fs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
other::r-x

同一组的成员有读权限,没有写权限:
[mapred@master ~]$ groups
hadoop
[mapred@master ~]$ hadoop fs -ls /input/acl
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml
[mapred@master hadoop]$ hadoop fs -put conf/capacity-scheduler.xml /input/acl
put: Permission denied: user=mapred, access=WRITE, inode="/input/acl":hadoop:supergroup:drwxr-xr-x

设置mapred用户只读:
[hadoop@master ~]$ hdfs dfs -setfacl -m user:mapred:r-- /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
user:mapred:r--
group::r-x
mask::r-x
other::r-x


执行权限被拒绝:
[hadoop@master ~]$ logout
[root@master ~]# su - mapred
[mapred@master ~]$ hadoop fs -ls /input/acl
ls: Permission denied: user=mapred, access=READ_EXECUTE, inode="/input/acl":hadoop:supergroup:drwxr-xr-x:user:mapred:r--,group::r-x

移除acl:
[hadoop@master ~]$ hdfs dfs -setfacl -x user:mapred /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
mask::r-x
other::r-x

重新拥有执行权限,因为mapred是hadoop用户组中的:
[mapred@master ~]$ hadoop fs -ls /input/acl/yarn-site.xml
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml

定义在owner、other里的权限一直都是有效的,其它权限可能用效或者被隐蔽。

named user与named group的值是否生效,还要看其值与mask的“与”值,即mask也要有该权限,才能生效。

mask是用于过滤named user与named group的权限的,可以通过chmod改变

如:在给同组的其它用户,其它组的用户或组添加acl时,如果给的权限比当前mask大,则mask会随之更新:

[hadoop@master ~]$ hdfs dfs -getfacl /input/acl        【初始权限】
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x
mask::r-x
other::r-x
[hadoop@master ~]$ hdfs dfs -setfacl -m user:mapred:rwx /input/acl
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl            【mapred用户拥有rwx权限,但mask为r-x,则mask自动改为rwx】
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
user:mapred:rwx
group::r-x
mask::rwx
other::r-x

但所属组的用户权限不受影响: 

[hadoop@master ~]$ hadoop fs -chmod g-x /input/acl        【取消同一用户组的可执行权限,并更新mask的值】
[hadoop@master ~]$ hdfs dfs -getfacl /input/acl
# file: /input/acl
# owner: hadoop
# group: supergroup
user::rwx
group::r-x	#effective:r--
group:apache:rwx	#effective:rw-
mask::rw-
other::r-x
[hadoop@master ~]$ logout
[root@master ~]# su - mapred
[mapred@master ~]$ hadoop fs -ls /input/acl                【上一步取消同一用户组的可执行权限,但没有生效,因为mapred和hadoop属于同一组】
Found 1 items
-rw-r--r-- 3 hadoop supergroup 5919 2014-04-25 15:08 /input/acl/yarn-site.xml




大数据领域 HDFS 安全机制详解
AGI×大数据,开启智能时代的认知跃迁;解码AGI,赋能数据驱动的智能革命。
05-31 963
随着大数据时代的到来,数据的存储和管理面临着越来越多的安全挑战。HDFS 作为 Hadoop 生态系统中最核心的分布式文件系统,其安全机制对于保护大数据的完整性、可用性和保密性至关重要。本文的目的是详细介绍 HDFS 的安全机制,包括认证、授权、加密等方面的内容,帮助读者深入理解 HDFS 如何确保数据在分布式环境下的安全。文章的范围涵盖了 HDFS 安全机制的基本原理、具体实现方式以及实际应用案例等。本文将按照以下结构进行组织:首先介绍 HDFS 安全机制的核心概念与联系,包括相关的架构和流程;
Hadoop-2.4.1学习之HDFS文件权限和ACL
热门推荐
skyWalker_ONLY
11-02 1万+
之前在论坛看到一个关于HDFS权限的问题,当时无法回答该问题。无法回答并不意味着对HDFS权限一无所知,而是不能准确完整的阐述HDFS权限,因此决定系统地学习HDFS文件权限。HDFS的文件和目录权限模型共享了POSIX(Portable Operating System Interface,可移植操作系统接口)模型的很多部分,比如每个文件和目录与一个拥有者和组相关联,文件或者目录对于拥有者、组内
大数据入门(Hadoop简介、Hadoop伪分布式安装、HDFS相关概念及shell操作和Java API操作)
郑清
02-27 841
一、HADOOP简介 1、为什么需要Hadoop? 从一个例子开始,现在我们业务系统通过nginx转发tomcat,所有用户都通过访问Nginx访问我们的功能,Nginx为我们记录了accessLog,我们可以分析这些日志来挖掘一些用户行为。为网站运营提供统计支持。 Flume Agent:做日志收集 HDFS:类似于fastDFS一样的文件管理系统(这里是存储上面收集的日志信息) MAPRE...
hdfs api基本操作
fantasticqiang的博客
05-31 573
以下是hadoop 基本API使用,包括文件上传,文件下载,查看文件目录,创建文件夹,删除文件。package com.lqq.hadoop; import java.io.ByteArrayOutputStream; import java.io.InputStream; import org.apache.hadoop.conf.Configuration; import org.apac...
HDFS文件权限及ACL访问控制
大怀特的博客
10-15 3165
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限及ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
HDFS ACL权限的存储与获取源码分析
sx157559322的博客
07-25 291
前言我们都知道HDFS 权限除了基础权限还有ACL权限,但是当我们获取Fsimage镜像文件时只能看到基础权限信息看不到ACL权限信息,那么ACL权限信息是如何获取与存储的呢?大概的总结是:为了节省内存,这里的ACL其实是以整型数组的形式存储在INode节点中的,而且还有单独的user、group的Map对象与之关联,只不过这里面涉及到了一些运算。因hadoop源码非常复杂,下面只解析ACL权...
Hadoop_Hdfs ACL 权限控制详解
迎难而上
05-04 1万+
开启ACL权限控制 Hadoop HDFS 默认没有使用 ACL 权限控制机制。这里介绍下如何开启 hdfs 的权限控制机制。 第一次使用需要修改hdfs-site.xml 把以下配置加进hdfs-site.xml 中, 并重启NameNode. dfs.namenode.acls.enabled true        我们主要是通过  setfacl  getfacl  这两个指令
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 249
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
HDFS的架构优势与基本操作
阿莫夕林的博客
03-11 4429
如今,数据正以指数级增长,各行各业都在追求更多的数据存储、高效的数据处理和可靠的数据基础来驱动业务的发展。Hadoop Distributed File System(HDFS)作为Hadoop生态系统的核心组件之一,成为构建可靠的大数据基础的不二选择之一。本文将深入剖析HDFS的架构与优势。
【Hadoop-HDFS-S3】HDFS 和存储对象 S3 的对比
weixin_53543905的博客
01-03 2175
虽然 Apache Hadoop 以前都是使用 HDFS 的,但是当 Hadoop 的文件系统的需求产生时候也能使用 S3。之前的工作经历中的大数据集群存储都是用HDFS,当前工作接触到对象存储S3,在实践中比较两者的不同之处。
HDFS】转载:HDFS 特殊权限位
Mrerlou的博客
12-10 529
一、前言 之前对HDFS更或者说是对Linux中文件的权限没有进行一个完整的学习,只是知道有所有者、所属组和其它权限,具体到某个人的权限有读®、写(w)和可执行(x)。 二、HDFS基于Linux Posix model HDFS的权限虽然是基于Linux的POSIX model,但是HDFS中其实并没有真正的用户和组的概念,只是从主机上拿到用户的信息然后对其存储的文件权限进行检查。 HDFS中每个文件和目录都有一个owner和group,并对owner、owner同一个组的user和其它user的权限进
hdfs权限控制部分指令
Yrz7746321的博客
06-12 446
hdfs dfs -getfacl <path> hdfs dfs -getfacl -m <path> # 查询目录的ACL规则 hdfs dfs -getfacl /user # 为指定user添加权限(user名为hadoo) hdfs dfs -setfacl -m user:hadoop:rwx /user # 为指定group添加权限(group名为group) hdfs dfs -setfacl -m group:hadoop:rwx /user # 删除指..
hdfsacl权限控制
我是明星的专栏
06-10 1304
ACL(Access Control Lists,访问控制列表),Hadoop中的acl与unix中的acl机制(posix模型)基本相同,可以为文件或目录提供更精细化的权限访问控制。 对于每个文件或目录而言,权限管理分为3个不同的用户类:owner,group和others。每个用户类有3种不同的访问权限:read,write,execute。 当一个用户试图访问一个文件系统对象时,hdfs会根据该用户所对应的权限进行验证:如果该用户是其所有者(owner),那么hdfs将检查owner类权限;如果.
Hadoop 2.7.5命令 (1)
weixin_30635053的博客
03-20 235
概述: 文件系统(FS)shell包含各种类似shell的命令,可直接与Hadoop分布式文件系统(HDFS)以及Hadoop支持的其他文件系统(如Local FS,HFTP FS,S3 FS等)交互。FS外壳的调用方式如下: hadoop fs <args> 所有FS shell命令都将路径URI作为参数。URI格式是sche...
HDFS权限、小文件处理、纠删码、数据丢失处理
weixin_59868842的博客
02-26 756
HDFS权限、小文件处理、纠删码、数据丢失处理
HDFS ACLs访问控制权限
ksh的博客
05-15 5797
HDFS ACLs
Apache Ranger——Hadoop ACL控制工具
weixin_34354173的博客
01-17 509
本文主要通过ranger在hdfs acl中的应用以及原理介绍一下ranger的使用,另外介绍一下实际使用过程中碰到的问题。上篇文章回顾:时间服务器—NTP目前公司内部大多通过数据工场来管理hdfs上的数据,工场开发团队和hdfs、yarn的SRE同学也配合紧密。由于涉及到管理数据,那么不得不说到权限控制的问题。接触过hadoop的同学都应该了解hdfs上数据的权限类似linux中的权限,分为r、...
HDFS Permissions Guide
来啊 快活啊
08-19 2440
HDFS Permission Guide Overview HDFS实现了一个文件和目录权限模型,拥有很多POXIS模型的影子。每个文件和目录与一个所有者和一个用户组相关联。文件或目录有各自的用户权限,用户包括所有者,所有者同组的其他用户,所有其他的用户。对于文件来说,r权限代表读文件,w权限代表写或者追加数据到文件。对于目录,r表示可以列出目录的内容,w权限代表可以创建或者删除文件或目录,
Hadoop的安全/权限管理
肖韬的BLOG
05-20 1万+
为什么要注重权限管理Hadoop集群装好了,其自身几乎没有对安全/用户权限的配置。用户可以轻易地伪造自己的身份来破坏Hadoop集群,例如,从client伪装成一个hdfs用户删除HDFS中的全部数据,或者伪装成mapred用户提交一个恶意的job。对于商业用户而言,数据安全是最重要的。所以,对于Hadoop集群而言,必须进行一定的安全配置,保证数据和集群的安全。
hdfs dfs 命令在cron 不执行
最新发布
03-22
用户可能需要检查HDFS的权限设置,或者使用适当的用户身份运行Cron任务,比如通过sudo或者设置HDFSACL。 第三,路径问题。hdfs命令可能位于特定的目录下,如/usr/local/hadoop/bin,而这个目录不在Cron的PATH环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值