HDFS文件权限及ACL访问控制

最新推荐文章于 2025-04-18 19:40:18 发布
转载 最新推荐文章于 2025-04-18 19:40:18 发布 · 3.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/sudaxhh/article/details/52334652
文章标签:

#hadoop #big data

dfs文件权限及ACL访问控制

1、权限相关配置

(1)、hdfs-site.xml设置启动acl

<property> 
      <name>dfs.permissions.enabled</name> 
      <value>true</value> //默认值为true,即启用权限检查。如果为 false,则禁用
</property>
<property> 
     <name>dfs.namenode.acls.enabled</name> 
     <value>true</value> //默认值为false,禁用ACL,设置为true则启用ACL。当ACL被禁用时,NameNode拒绝设置或者获取ACL的请求
</property>

(2)、core-site.xml设置用户组默认权限.

<property>
     <name>fs.permissions.umask-mode</name>
     <value>022</value>  
</property>

PS:创建文件和目录时使用的umask,默认值为八进制022,每位数字对应了拥有者,组和其他用户。该值既可以使用八进制数字,如022,也可以使用符号,如u=rwx,g=r-x,o=r-x(对应022)

2、hdfs acl权限实体类别

(1)、默认ACL必须包含所有最小要求的ACL项,包括文件拥有者项,文件所属的组项和其它用户项 即:

user::rwx
group::r-x
other::r-x

(2)、每个ACL项由类型,可选的名称和权限字符串组成,它们之间使用冒号(:) 如:

user::rw-
user:bruce:rwx         #effective:r--      //bruce这个用户实际拥有读执行权限 (rwx, r-x(mask) 两者执行‘相与’操作得到实际权限)
group::r-x                 #effective:r--
group:sales:rwx       #effective:r--
mask::r--
other::r--

a、这组ACL访问列表中:文件的拥有者具有读写权限,文件所属的组具有读和执行的权限,其他用户具有读权限;除此之外,还有两个扩展的ACL项,分别为用户bruce和组sales,并都授予了读写执行的权限。 b、最大有效权限mask:mask项是一个特殊的项,用于过滤授予所有命名用户,命名组及未命名组的权限,即过滤除文件拥有者和其他用户(other)之外的任何ACL项

(3)、默认访问控制列表:有目录可能拥有默认访问控制列表,当创建新文件或者子目录时,自动拷贝父辈的默认访问控制列表到自己的访问控制列表中,新的子目录也拷贝父辈默认的访问控制列表到自己的默认访问控制列表中。这样,当创建子目录时默认ACL将沿着文件系统树被任意深层次地拷贝。

user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:bruce:rwx     #effective:r-x       //有效权限,‘相与’操作后得到
default:group::r-x
default:group:sales:rwx    #effective:r-x
default:mask::r-x
default:other::r-x

3、hdfs acl权限生效的算法规则

(1)如果是owner,则取owner的权限
(2)如果针对用户设置了ACL,则用户的ACL生效
(3)如果用户在组里,则取各组ACL的并集
(4)其他情况,取other的权限
(5)default权限:设置default之后,对新添加的文件和目录生效,对于现有的文件和目录不生效。
如:目录A拥有default:user:bruce:rwx权限,则在目录A下创建目录B,则目录B拥有user:bruce:rwx,default:user:bruce:rwx权限。

4、hdfs acl shell命令

(1)、显示某个文件的权限
hdfs dfs -getfacl [-R]
如:hdfs dfs -getfacl /test/acl
(2)、赋予权限:
hdfs dfs -setfacl [-R] -m
如:hdfs dfs -setfacl -R -m user:testUser:rw- /test/acl
(3)、删除权限:
hdfs dfs -setfacl [-R] [-b|-k |-x ]|[–set ]
-x 删除指定的acl权限
-k 删除所有默认的权限
-b 删除所有的权限

5、hdfs acl FileSystem 相关API

public void modifyAclEntries(Path path, List<AclEntry> aclSpec) throws IOException;
public void removeAclEntries(Path path, List<AclEntry> aclSpec) throws IOException;
public void public void removeDefaultAcl(Path path) throws IOException;
public void removeAcl(Path path) throws IOException;
public void setAcl(Path path, List<AclEntry> aclSpec) throws IOException;
public AclStatus getAclStatus(Path path) throws IOException;

如:给文件 /user/test/input/acl 设置 user:bruce:r-x default:user:bruce:r-x权限 代码如下:

@Test
public void testModifyAcl () throws IOException{
   List<AclEntry> aclEntries = new ArrayList<AclEntry>();
   for (int i = 0; i <= 1; i++) { 
        AclEntryScope aclEntryScope = (i == 0) ? AclEntryScope.ACCESS : AclEntryScope.DEFAULT;
        Builder builder = new AclEntry.Builder();
        builder.setName("bruce");
        builder.setPermission(FsAction.READ_EXECUTE);
        builder.setScope(aclEntryScope);
        builder.setType(AclEntryType.USER);
        AclEntry aclEntry = builder.build();
        aclEntries.add(aclEntry);
   }
  FileSystem fs = FileSystem.get(HadoopConfiguration.getConf());
  Path path = new Path("/user/test/input/acl/");
  fs.modifyAclEntries(path, aclEntries);
}

参考: Apache Hadoop 2.6.2 - HDFS Permissions Guide Cloudera | 企业数据平台公司

Hdfs文件权限ACL访问控制
zhengzaifeidelushang的博客
05-14 345
Hdfs文件权限ACL访问控制一、getfacl查看hdfs目录权限二、setfacl设置权限三、设置用户权限四、设置组权限五、为目录设置默认ACL权限六、递归创建目录权限七、实例:赋予zeppelin用户读写目录权限八、补充:hdfs-site.xml打开权限检查九、补充:改变文件或目录所属的用户和用户组 一、getfacl查看hdfs目录权限 hdfs dfs -getfacl /test/zeppelin user::rwx group::r-x other::--- 二、setfacl设置权限
HDFS文件权限ACL访问控制——高效大数据管理
DevEnigma的博客
09-17 339
本文介绍了HDFS文件权限ACL访问控制的实现原理,并提供了相应的Java代码示例。通过设置文件权限和使用ACL访问控制,可以对HDFS中的数据进行安全管理和访问控制,保护大数据的安全性和完整性。在实际应用中,可以根据企业的具体需求和安全策略,灵活配置和管理HDFS文件的权限和访问控制。本文将详细介绍HDFS文件权限ACL访问控制的实现原理,并提供相应的源代码示例。希望本文能够帮助读者更好地理解和应用HDFS文件权限ACL访问控制,在大数据管理中取得更高效、安全的成果。文件中进行相应的配置。
HDFS基于ACL权限控制
专注技术交流、咨询
12-19 986
一、开起ACL权限开关 (1)如果是Apache Hadoop:修改hdfs-site.xml的配置,并重启                     dfs.namenode.acls.enabled            true          (2)如果是CDH,登陆Cloudera Manager,选中HDFS,点击【配置】,在搜索栏中输入acl进行搜索,将【启用访问控制
HDFS入门】HDFS安全与权限管理解析:从认证到加密的完整指南
IT成长日记的博客
04-18 800
HDFS提供了从身份认证到数据加密的完整安全解决方案。通过合理配置Kerberos、ACL、加密区和审计系统,可以构建符合企业级要求的安全大数据平台。
Hadoop_Hdfs ACL 权限控制详解
迎难而上
05-04 1万+
开启ACL权限控制 Hadoop HDFS 默认没有使用 ACL 权限控制机制。这里介绍下如何开启 hdfs 的权限控制机制。 第一次使用需要修改hdfs-site.xml 把以下配置加进hdfs-site.xml 中, 并重启NameNode. dfs.namenode.acls.enabled true        我们主要是通过  setfacl  getfacl  这两个指令
hdfsacl权限控制
我是明星的专栏
06-10 1293
ACL(Access Control Lists,访问控制列表),Hadoop中的acl与unix中的acl机制(posix模型)基本相同,可以为文件或目录提供更精细化的权限访问控制。 对于每个文件或目录而言,权限管理分为3个不同的用户类:owner,group和others。每个用户类有3种不同的访问权限:read,write,execute。 当一个用户试图访问一个文件系统对象时,hdfs会根据该用户所对应的权限进行验证:如果该用户是其所有者(owner),那么hdfs将检查owner类权限;如果.
Hadoop 2.7.5命令 (1)
weixin_30635053的博客
03-20 230
概述: 文件系统(FS)shell包含各种类似shell的命令,可直接与Hadoop分布式文件系统(HDFS)以及Hadoop支持的其他文件系统(如Local FS,HFTP FS,S3 FS等)交互。FS外壳的调用方式如下: hadoop fs <args> 所有FS shell命令都将路径URI作为参数。URI格式是sche...
hdfs同步sentry权限到文件系统acl异常,导致hdfs acl权限全部丢失
appleYQL的博客
11-27 859
集群是CDH6.2.0,权限使用sentry鉴权,一次hadoop修改配置重启后出现,无论是使用hive客户端还是直接加载文件进去都是提示文件权限问题,使用访问hiveserver2的服务是正常的(hiveserver2正常应该是鉴权是在sentry,鉴权完成后使用hive用户访问),查看了sentry上面的赋权,权限是正常的,再查看hdfs文件系统上面的目录和文件,发现acl权限全部丢失。
Hadoop-2.4.1学习之HDFS文件权限ACL
热门推荐
skyWalker_ONLY
11-02 1万+
之前在论坛看到一个关于HDFS权限的问题,当时无法回答该问题。无法回答并不意味着对HDFS权限一无所知,而是不能准确完整的阐述HDFS权限,因此决定系统地学习HDFS文件权限HDFS的文件和目录权限模型共享了POSIX(Portable Operating System Interface,可移植操作系统接口)模型的很多部分,比如每个文件和目录与一个拥有者和组相关联,文件或者目录对于拥有者、组内
聊聊HDFS的权限访问控制
走在前往架构师的路上
01-01 2873
文章目录前言典型场景:权限信息不一致情况 前言 我们都知道HDFS文件系统的访问控制由其内部目录,文件的权限所控制,和Linux文件系统一致。但是当出现HDFS和别的组件进行关联使用时,我们是否还能做到预期的控制效果呢?比如Hive和HDFS的使用,Hive也有它自己独立一套的用户权限体系。本文笔者来简单聊聊HDFS的权限访问控制,我们不聊最简单的情况,只聊那些在生产中实际可能会遇到的场景。 典...
一篇文章搞懂HDFS管理权限
小米云技术
06-14 8231
小米的HDFS承载了公司内多个部门几十条业务线的几十PB数据,这些数据有些是安全级别非常高的用户隐私数据,也有被广泛被多个业务线使用的基础数据,不同的业务之间有着复杂的数据依赖。因此,如何管理好这些数据的授权,并尽可能自动化低成本的做好权限管理,是很重要的一部分工作。本文系统的描述了HDFS权限管理体系中与用户关联最紧密的授权相关内容,希望通过本文让大家对权限管理有一个清晰的了解。 HDFS的权...
HdfsACL 基本理解
Axel_Fran的博客
03-29 1005
首先ACL (access control list) 中文 “权限访问控制列表”, 简单来说,就是记录 HDFS 的文件或者文件夹 针对 owner,group, others 三个角色的权限是什么(xrw) 类似于,我们常常查看文件的权限 ll 命令, 有九位 比如:xrw--x-r hdfs 默认是开启文件访问权限的,就是按照rwx 来进行判断是否有读写执行权限。然后根据用户拥有者, 同组用户, 非同组用户 来进行权限管理 然而ACL 是一个对于HDFS 的可选启动项, 目的: 制定 “除.
大数据运维实战第二十五课 HDFS 存储权限 ACL 控制策略以及与系统权限整合应用
fegus的博客
08-20 730
普通的权限控制模式,有时候可能无法满足多用户、多环境的使用需求。例如,HDFS 上的一个目录 /user/user1/logs,此目录要求对 A、B、C 用户可读写,要实现这个需求,有以下两种方式。第一种方式是通过普通权限控制实现。首先,将 A、B、C 三个用户加入一个组中;然后将 /user/user1/logs 目录授权为 775 权限,这样,目录所属的组也就有写此目录的权限了。虽然这个方法能够实现此需求,但是权限过于大了,无法做到精细化控制,操作也过于烦琐。第二种方式是通过POSIX ACL实现。
数据仓库搭建_hdfs,ACL权限认证(权限控制)
Davila的博客
08-09 238
在没有开启之前,任何用户都可以随意的删除root用户下的文件,这就可能造成了严重的安全隐患。1、普通权限认证只能控制到当前用户,当前用户所属的组,其它用户,不能精确到每一个其它用户。1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的,库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录。表命名规范,每个定义都是由规则的,一般会使用库名作为前缀。# 将hdfstmp的目录权限给所有的用户。2、ACl可以做到每一个用户权限认证,将目录的权限给到层所属的用户。
hdfsacl权限管理的简单实用
huan的学习记录
06-05 1192
在我们开发的过程中有这么一种场景,/projectA目录是用户创建的,他对这个目录有wrx权限,同时这个目录属于supergroup,在这个组中的用户也具有这个目录的wrx权限,对于其他人,不可访问这个目录。现在有这么一个特殊的用户root由上图可以,root用户想访问/projectA目录,在hdfs中可以通过acl来实现。
hdfs ACL对文件夹实现权限访问控制
archer的技术故事
04-08 1万+
hdfs ACL对文件夹实现权限访问控制 刚刚搭建好cdh后,在使用hdfs的基本指令的时候发现使用root用户权限不够。经过查找资料发现。root用户只是系统的超级管理员,但是不是hdfs的超级管理员。默认cdh安装后,超级管理原始hdfs。如下图: 如果想让root能够在某个hdfs文件夹中具有权限,就需要使用hdfs dfs -setfacl的指令,具体可以参考官方的网址
HDFS ACL权限的存储与获取源码分析
sx157559322的博客
07-25 286
前言我们都知道HDFS 权限除了基础权限还有ACL权限,但是当我们获取Fsimage镜像文件时只能看到基础权限信息看不到ACL权限信息,那么ACL权限信息是如何获取与存储的呢?大概的总结是:为了节省内存,这里的ACL其实是以整型数组的形式存储在INode节点中的,而且还有单独的user、group的Map对象与之关联,只不过这里面涉及到了一些运算。因hadoop源码非常复杂,下面只解析ACL权...
HDFS ACL权限设置
CREATE_17的博客
03-31 2445
HDFS版本:3.1.1 今天主要给大家说一下HDFS文件权限的问题。当一个普通用户去访问HDFS文件时,可能会报Permission denied的错误。那么你会怎么做呢? 像修改linux文件似的,可能的做法有: 修改文件所有者 直接将文件赋予全部的权限,即rwx权限。 上面的做法虽然可以达到目的,但是相对来说对权限的把握不是很精准,不适用于生产环境。 本文主要讲解HDFSACL(A...
hdfs文件权限
最新发布
05-09
<think>好的,用户想了解HDFS文件权限的设置和修改,以及解决相关的权限问题。我需要结合提供的引用内容,整理出一个清晰的回答结构。首先,HDFS的权限机制类似于Linux,有rwx权限,用户、组和其他。可能需要先解释基本概念,然后讲如何查看权限,再讲如何修改权限,比如chmod、chown这些命令。用户可能还遇到权限不足的问题,需要给出解决方法,比如临时设置777权限,但要注意安全问题。引用中提到HDFS的权限目的是防止好人做错事,所以权限管理更多是内部规范,而不是强安全措施。还要注意,HDFS客户端会根据当前系统用户来设置owner,所以如果用户和namenode上的用户不一致,可能会有问题,需要添加相同用户。另外,引用里提到HDFS不支持setuid/setgid,这点可能需要提到。最后生成相关问题,比如权限机制与Linux的区别,权限不足的解决办法,安全建议等。需要确保步骤清晰,命令示例正确,并且引用对应的参考资料。</think>### HDFS文件权限设置与修改指南 HDFS文件权限机制采用与Linux相似的POSIX模型,通过用户(user)、组(group)和其他用户(others)三个维度进行权限控制[^1]。以下是具体操作步骤: #### 一、权限查看与基本概念 1. **查看文件权限**: ```bash hdfs dfs -ls /path ``` 输出示例:`drwxrwx--- - lisa supergroup 0 2023-08-01 10:00 /input` - 第一位`d`表示目录 - 后三组`rwx`分别对应用户、组、其他用户的权限 2. **权限符号说明**: - `r`:读取(查看文件/列表目录内容) - `w`:写入(创建/删除文件) - `x`:执行(访问子目录,对文件无意义) #### 二、权限修改操作 1. **修改权限值(chmod)**: ```bash # 设置目录所有用户可读可写 hdfs dfs -chmod -R 777 /testdata # 移除其他用户执行权限 hdfs dfs -chmod o-x /logs/access.log ``` - `-R`表示递归操作[^3] - 数字模式(777=rwxrwxrwx)或符号模式(u+rwx)均可使用[^2] 2. **修改文件所有者(chown)**: ```bash hdfs dfs -chown -R hadoopuser:devgroup /projects ``` - 需确保目标用户在NameNode服务器上存在[^4] #### 三、常见问题解决方案 1. **写入权限被拒绝**: ```bash # 临时解决方案(生产环境慎用) hdfs dfs -chmod -R 777 /targetdir ``` 更安全的做法是精准设置权限: ```bash hdfs dfs -chmod -R 750 /sensitive_data # 所有者读写执行,同组用户读执行 ``` 2. **跨节点用户同步**: - 在**所有NameNode节点**创建相同用户: ```bash useradd hadoopuser && usermod -g devgroup hadoopuser ``` - 确保客户端执行用户与HDFS用户一致[^4] #### 四、特殊限制说明 1. HDFS不支持`setuid/setgid`权限位 2. 默认未启用POSIX ACL(需手动配置) 3. 权限验证基于客户端声明的用户身份[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值