Spark执行环境——安全管理器SecurityManager

最新推荐文章于 2024-04-11 16:09:46 发布
最新推荐文章于 2024-04-11 16:09:46 发布
阅读量1.6k 收藏 4
点赞数 4
分类专栏: Spark Spark 2.1.0源码剖析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LINBE_blazers/article/details/88585327
版权

SecurityManager主要对账号、权限及身份认证进行设置和管理。如果Spark的部署模式为YARN,则需要生成secret_key(密钥)并存入Hadoop UGI;而在其它模式下,则需要设置环境变量_SPARK_AUTH_SECRET(优先级更高)或spark.lauthenticate.secret属性指定secret key(密钥)。SecurityManager还会给当前系统设置默认的口令认证实例,在SparkEnv中创建SecurityManager的代码如下:

val securityManager = new SecurityManager(conf)

SecurityManager有很多内部属性:

private val authOn = sparkConf.getBoolean(SecurityManager.SPARK_AUTH_CONF, false)
// keep spark.ui.acls.enable for backwards compatibility with 1.0
private var aclsOn =
  sparkConf.getBoolean("spark.acls.enable", sparkConf.getBoolean("spark.ui.acls.enable", false))
private var adminAcls: Set[String] =
  stringToSet(sparkConf.get("spark.admin.acls", ""))
// admin group acls should be set before view or modify group acls
private var adminAclsGroups : Set[String] =
  stringToSet(sparkConf.get("spark.admin.acls.groups", ""))
private var viewAcls: Set[String] = _
private var viewAclsGroups: Set[String] = _
// list of users who have permission to modify the application. This should
// apply to both UI and CLI for things like killing the application.
private var modifyAcls: Set[String] = _
private var modifyAclsGroups: Set[String] = _
// always add the current user and SPARK_USER to the viewAcls
private val defaultAclUsers = Set[String](System.getProperty("user.name", ""),
  Utils.getCurrentUserName())
private val secretKey = generateSecretKey()
  • authOn:是否开启认证。可以通过spark.authenticate属性配置,默认为false
  • aclsOn:是否对账号进行授权检查。可通过spark.acls.enable(优先级较高)或spark.ui.acls.enable(此属性是说为了向前兼容)属性进行配置。aclsOn的默认值为false。
  • adminAcls:管理员账号集合。可以通过spark.admin.acls属性配置,默认为空。
  • adminAclsGroups:管理员账号所在组的集合。可以通过spark.admin.acls.groups属性配置,默认为空。
  • viewAcls:有查看权限的账号集合。包扎AdminAcls、defaultAclusers及spark.ui.view.acls属性配置的用户。
  • viewAclsGroups:拥有查看权限的账号,所在组的集合。包括adminAclsGroups和spark.ui.view.acls.groups属性配置的用户。
  • modifyAcls:有修改权限的账号的集合。包括adminAcls、defaultAclUsers及spark.modify.acls属性配置的用户。
  • modifyAclsGroups:拥有修改权限的账号所在组的集合。包括adminAclsGroups和spark.modify.acls.groups属性配置的用户。
  • defaultAclUsers:默认用户。包括系统属性user.name指定的用户或系统登录用户或者通过系统环境变量SPARK_USER进行设置的用户。
  • secretKey:在YARN模式下,首先使用sparkCookie从Hadoop UGI中获取密钥。如果Hadoop UGI没有保存密钥,则生成新的密钥(密钥长度可以通过spark.authenticate.secretBitLength属性指定)并存入Hadoop UGI。其它模式下,则需要设置环境变量_SPARK_AUTH_SECRET(优先级更高)或spark.authenticate.secret属性指定。

SecurityManager中设置了默认的口令认证实例Authenticator,此实例采用匿名内部类实现,用于每次使用HTTP client从HTTP服务器获取用户的用户名和密码。这是由于Spark的节点间通信往往需要动态协商用户名、密码,这种方式灵活地支持了这种需求。设置默认身份认证器的代码如下:

if (authOn) {
  Authenticator.setDefault(
    new Authenticator() {
      override def getPasswordAuthentication(): PasswordAuthentication = {
        var passAuth: PasswordAuthentication = null
        val userInfo = getRequestingURL().getUserInfo()
        if (userInfo != null) {
          val  parts = userInfo.split(":", 2)
          passAuth = new PasswordAuthentication(parts(0), parts(1).toCharArray())
        }
        return passAuth
      }
    }
  )
}

 

 

拾荒路上的开拓者
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spark学习-33-Spark安全机制SecurityManager
九师兄
11-17 9124
本文是翻译加工现在,Spark支持通过共享秘钥进行认证。启用认证功能可以通过参数spark.authenticate来配置。此参数控制spark通信协议是否使用共享秘钥进行认证。这种认证方式基于握手机制,以确保通信双方都有相同的共享秘钥时才能通信。如果共享秘钥不一致,则双方将无法通信。
Spark2.2源码剖析——SecurityManager
Jorocco的博客
01-15 796
  SecurityManager主要对帐号、权限以及身份认证进行设置和管理。如果 Spark 的部署模式为 YARN,则需要生成 secret key (密钥)并存储 Hadoop UGI。而在其他模式下,则需要设置环境变量 _SPARK_AUTH_SECRET(优先级更高)或者 spark.authenticate.secret 属性指定 secret key (密钥)。最后SecurityM...
Java安全管理器-SecurityManager
最新发布
sunyingboaini的博客
04-11 1344
SecurityManager是Java中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
spark源码阅读(十五)--securityManager
colossus——bigdata的专栏
04-07 1764
securityManager主要用于权限设置,比如在使用yarn作为资源调度框架时,用于生成secret key进行登录。该类默认只用一个实例,所以的app使用同一个实例,下面是该类的所有源代码: private[spark] class SecurityManager(sparkConf: SparkConf) extends Logging with SecretKeyHolder {
spark.SecurityManager: SecurityManager: authentication disabled
weixin_30312557的博客
08-18 2377
转载于:https://www.cnblogs.com/mayidudu/p/5783909.html
spark 源码分析之十八 -- Spark存储体系剖析
weixin_30448603的博客
07-23 284
本篇文章主要剖析BlockManager相关的类以及总结Spark底层存储体系。 总述 先看 BlockManager相关类之间的关系如下: 我们从NettyRpcEnv 开始,做一下简单说明。 NettyRpcEnv是Spark 的默认的RpcEnv实现,它提供了个Spark 集群各个节点的底层通信环境,可以参照文章spark 源码分析之十二--Spark RPC剖...
dappFinance#Note#【Java多线程】安全管理器SecurityManager1
07-25
创建安全管理器利用安全管理器public static void main(String args[]){方法调用此方法时,返回所有新创建的线程实例化后所在的线
浅谈shiro的SecurityManager类结构
08-29
下面小编就为大家带来一篇浅谈shiro的SecurityManager类结构。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java安全技术.pptx
05-09
ClassLoader 负责装入类文件,SecurityManager 负责执行运行时访问控制机制,ByteCode Verifier 负责确保代码的正确性,AccessController 负责控制访问权限。 权限(Permission)是 Java 安全模型的重要组件,允许...
Shiro安全框架
03-01
从Shiro内部看Shiro的架构,如下图所示:Subject(org.apache.shiro.subject.Subject)当前与软件进行交互的实体(用户,第三方服务,cronjob,等等)的安全特定“视图”SecurityManagerSecurityManager是Shiro架构...
SecurityManager使用
05-29
NULL 博文链接:https://lanhuidong.iteye.com/blog/1090395
spark-webUI添加权限认证
高矮
07-24 1051
Spark版本:2.4.0 直接上步骤: #1、编写Filter代码 ```java package spark; import org.apache.commons.codec.binary.Base64; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.*; import javax.servlet..
Spark Security
飞朋的博客
01-06 1411
Spark目前支持通过共享密钥进行身份验证。可以通过spark将身份验证配置为on。验证配置参数。此参数控制Spark通信协议是否使用共享密钥进行身份验证。此身份验证是一个基本的握手,以确保双方拥有相同的共享机密并允许通信。如果共享的秘密不相同,则不允许它们通信。共享秘密创建如下: 对于 spark on yarn 的部署。spark.authenticate 为 true将自动处理共享密钥的...
Spark Security面面观
为一个人走几座城
03-01 876
一、背景 作为一款成熟的商业软件,安全往往鲜少被提及但又不可忽略,大数据软件也是如此。在生产环境中,对于一款成熟的大数据软件的考量,不仅需要考虑其功能完备性和性能,同时安全也是不可缺少的一环。为什么安全如此重要呢? 首先,商业环境通常是多租户环境,不同的用户/组对于不同的数据/应用有不同的安全考量。我们需要保证相应的用户不能做出超越权限的操作。 同时,分布式架构会将端口、数据暴露出去,如...
Spark 安全和身份验证
互联网知识分享
08-18 330
安全和身份验证,包括安全性和身份验证的原理解释、参数介绍和完整代码案例。在实际应用中,安全和身份验证是非常重要的。用户可以使用密钥和令牌来代替用户名和密码进行身份验证。提供了一些参数来配置安全和身份验证相关的功能。的安全性和身份验证,包括原理解释、参数介绍和完整代码案例。:用于设置身份验证的密钥,用于加密和解密身份验证信息。在分布式计算环境中,安全性和身份验证是必不可少的。提供了一些功能来确保数据的安全性和用户的身份验证。的身份验证主要涉及用户身份的验证和授权管理。的安全性主要涉及数据的保护和访问控制。
「云原生」Spark on k8s 讲解与实战操作
z1ztai的博客
03-08 397
【注意】这里的 local:///opt/spark/examples/jars/spark-examples_2.12-3.3.0.jar 指的是 容器的文件系统路径,不是执行 spark-submit 的机器的文件系统路径,如果不使用 local 的话,也可以用 HTTP、HDFS 等系统,没指定的话默认是 local 模式。client mode下Driver进程不运行在Worker节点上,所以相对于参与实际计算的Worker节点而言,Driver就相当于是一个第三方的“client”;
漏洞复现:Apache Spark 命令注入(CVE-2022-33891)
qq_42660246的博客
07-20 6744
ApacheSparkUI可以设置选项spark.acls.enable启用ACL,使用身份验证过滤器。用以检查用户是否具有查看或修改应用程序的访问权限。如果启用了ACL则HttpSecurityFilter中的代码路径可以允许用户通过提供任意用户名来执行命令。该功能最终将根据用户输入构建一个Unixshell命令并执行它,最终导致任意命令执行。.........
ApacheSpark-命令执行(CVE-2022-33891) 漏洞复现
告白的博客
07-21 2283
Apache Spark存在一处命令注入,该漏洞是由于Apache Spark UI提供了通过配置选项spark.acls.enable启用ACL的可能性,HttpSecurityFilter中的代码路径可以通过提供任意用户名来允许某人执行模拟。恶意用户凭借访问权限检查函数最终将基于其输入构建Unix shell命令并执行它。成功利用此漏洞可导致任意shell命令执行。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值