如何杜绝 spark history server ui 的未授权访问?

最新推荐文章于 2023-08-14 11:42:23 发布
最新推荐文章于 2023-08-14 11:42:23 发布
阅读量1.3k 收藏
点赞数
分类专栏: 大数据 数据安全 文章标签: spark 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MichaelLi916/article/details/127884069
版权

如何杜绝 spark history server ui 的未授权访问?

1 问题背景

默认状况下,Spark history Sever ui 是没有任何访问控制机制的,任何用户只要知道 shs 对应的 url,就可以访问链接查看 spark 作业的运行状况。

在证券基金银行等金融行业中,客户大都对信息安全有着较靠的要求,上述未授权访问的情况肯定是要杜绝的。那么如何配置以杜绝上述对 shs ui 的未授权访问呢?

2 开启 kerberos 的大数据集群环境中,如何杜绝对 shs ui 的未授权访问?

在信息安全要求较高的环境中,我们推荐开启大数据集群的 kerberos 安全认证,从而对整个集群中的 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等服务提供认证保护。

  • 此时这些服务如 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等的客户端,在使用 rpc 协议访问服务端时,只有在经过 kerberos 认证后才能访问成功;
  • 在访问这些服务的 web ui 时,比如 namenode/resourceManager/hive hs2/spark History Server 等的 web ui,此时客户使用的客户端工具是 web 浏览器,此时为对使用浏览器基于 http/https 访问 web UI 的用户进行身份验证,可以在服务端配置是否启用 spnego(spnego 底层基于 kerberos);
  • 当没有启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时,任何用户都可以在不经过 kerberos 认证的情况下访问 webui;
  • 当启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时,用户只有在成功通过了 kerberos 认证拿到了 ticket 后,才能成功访问对应服务的 web ui(需要在浏览器中做相应配置);
  • 可以手动在服务端后台配置文件中,通过一系列的参数配置是否启用对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证;
  • 在 CDH 中,可以通过 cm web ui 白屏化操作,以开启或关闭对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证,“启用 HTTP Web 控制台的 Kerberos 身份验证”,如下所示:

结合配置以下参数,即可控制对 SHS UI 的授权访问:

spark.history.ui.acls.enable=true
spark.history.ui.admin.acls=spark
spark.history.ui.admin.acls.groups

此时,通过浏览器访问 shs web ui 时,在没有经过 kerberos 安全认证时,就会报类似如下的错误:

3 SHS UI 访问控制背后的实现机制

  • 查阅官方文档可知,Spark UI 的认证,包括 shs ui 的认证,使用的都是 servlet 过滤器;
  • 而 spark 本身并没有提供任何内置的认证 过滤器, 大家需要根据自己的认证机制自己实现一个认证过滤器,并配置参数 spark.ui.filters 使用该过滤器;
  • 参数 spark.ui.filters 可以配置多个过滤器,以逗号隔开即开;

  • 注意参数 spark.authenticate:该参数控制 Spark 内部各个进程进行 rpc 通信时是否需要经过认证,而不是控制用户访问 spark webui时是否需要经过认证;
  • 在配置了认证过滤器的基础上,就可以通过配置参数 spark.acls.enable/spark.history.ui.acls.enable 分别对 spark/shs 的 webui 开启或关闭访问控制;

  • 访问控制列表具体包括三种,即 view acl(只具有view权限),modify acl(只具有 Modify权限) 和 admin acl(具有view和modify权限);
  • 配置访问控制列表时,可以配置用户也可以配置用户组;(支持配置逗号分隔的多个值,也支持配置*通配符);
  • spark/shs webui的访问控制相关参数如下:
spark.acls.enable
spark.admin.acls
spark.admin.acls.groups
spark.modify.acls
spark.modify.acls.groups	
spark.ui.view.acls
spark.ui.view.acls.groups
spark.user.groups.mapping
spark.history.ui.acls.enable
spark.history.ui.admin.acls
spark.history.ui.admin.acls.groups
  • Hadoop 提供了一个 servlet 认证过滤器,即 org.apache.hadoop.security.authentication.server.AuthenticationFilter,和一个可以配套使用的 spnego 认证机制的实现类,即 org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler;

  • 在开启 kerberos 的大数据集群环境中,为实现对 shs ui 的访问控制,背后即可配置使用上述 hadoop 提供的认证过滤器和spnego 认证实现类;
  • 在 CDH/CDP 环境中,可以通过查看 shs 进程背后的配置文件,确认其正是使用了上述访问控制机制,和上述 hadoop 提供的认证过滤器和spnego 认证实现类:

详细的配置参数如下:

//通过以下配置项开启了 shs ui 的 spnego 认证
spark.ui.filters=org.apache.spark.deploy.yarn.YarnProxyRedirectFilter,
最低0.47元/天 解锁文章
明哥的IT随笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spark性能调优
02-26
摘要:通常我们对一个系统进行性能优化无怪乎两个步骤——性能监控和参数调整,本文主要分享的也是这两方面内容。通常我们对一个系统进行性能优化无怪乎两个步骤——性能监控和参数调整,本文主要...2.historyserver
Spark生产优化总结
04-27
Spark 任务调度是 Spark 生产优化的关键,Spark 的任务调度可以使用 YARN 调度,启动 start-history-server.sh 可以查看任务运行状况。Metrics REST API 可以查看任务的详细信息。外部监控工具如 Ganglia 和 ...
spark ui acl 不生效的问题分析
weixin_34050519的博客
04-12 833
spark ui acl 不生效的问题分析 按照spark 文档配置了spark.acls.enable,spark.ui.view.acls 等参数,再去访问spark web ui后台,还是可以访问,说明acl没有生效。为什么么有生效呢?本人查看了spark源码后,发现要让acl 生效,还要配置filter。源码如下: private[spark] class Security...
spark报错——无法访问WebUI
weixin_63507910的博客
04-17 1232
并且spark启动无报错,shell登入正常,唯独无法访问WebUI,通过日志最后发现,并非无法访问WebUI,而是spark在启动中,无法绑定到端口8080,导致spark绑定到其他端口,所以无法通过8080访问WebUI。同时,无法访问WebUI也有很多原因,如进程启动失败等导致,建议读者通过日志记录查找问题,最后通过搜索引擎解决问题。笔者在安装spark,并配置spark高可用后,发现无法访问spark的WebUI,即无法访问。关于进程启动失败,而无法访问WebUI,请看笔者这篇文章。
Spark Security面面观
为一个人走几座城
03-01 881
一、背景 作为一款成熟的商业软件,安全往往鲜少被提及但又不可忽略,大数据软件也是如此。在生产环境中,对于一款成熟的大数据软件的考量,不仅需要考虑其功能完备性和性能,同时安全也是不可缺少的一环。为什么安全如此重要呢? 首先,商业环境通常是多租户环境,不同的用户/组对于不同的数据/应用有不同的安全考量。我们需要保证相应的用户不能做出超越权限的操作。 同时,分布式架构会将端口、数据暴露出去,如...
Spark授权访问getshell
Kevin's Blog
06-01 5274
一、介绍   apache顶级项目,大规模数据处理计算引擎。为了方便的给使用者控制系统进行计算和查看任务结果,提供了WebUI图形化界面和相应的REST API方便用户操作。支持用户向管理节点提交应用,并分发给集群使用,如果管理节点启用ACL访问控制),我们便可在集群中执行任意代码。 二、环境搭建 受害者IP:192.168.226.140(vulhub漏洞靶场、docker) 》》standalone模式启动一个Apache Spark集群 》》查看启动的端口服务 》》浏览器访问即可看到mas
CDH6.3.2防止被攻击,打补丁(授权漏洞)
黑眼圈@~@从不出水文
12-13 989
对CDH集群的HDFS增加身份验证
Apache Spark授权访问漏洞排查
dayouzi的博客
08-14 951
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。由于Apache Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。相关链接。
Spark编程基础及项目实践》试卷及答案2套.pdf
04-04
10. **Spark服务端口**:Spark默认使用的端口包括8080(Web UI)、4040(Spark History Server UI),18080可能不是Spark自带的服务端口。 11. **广播变量**:广播变量在Spark中是只读的,存储在每个节点上,但不...
spark-2.41-hadoop2.6
04-22
7. 集成工具:Spark提供了一系列工具,如SparkSubmit用于提交应用,Spark History Server用于查看应用历史,以及Spark Web UI用于监控应用状态。 在下载并解压"spark-2.4.1-bin-hadoop2.6"压缩包后,用户通常会找到...
java提交spark任务到yarn平台的配置讲解共9页
11-21
2. Spark History Server:启用Spark History Server,可以查看Spark作业的历史记录和日志。 六、优化技巧 1. 参数调优:根据集群资源和任务需求调整executor的数量、内存和CPU等参数。 2. 数据源和持久化:合理...
spark history 日志清理功能
Yrz7746321的博客
05-27 1624
cm 上spark history参数配置 spark.history.fs.cleaner.enabled=true spark.history.fs.cleaner.interval=86400 spark.history.fs.cleaner.maxAge=604800 spark.history.fs.update.interval.seconds=10 spark.history.retainedApplications=50 spark.history.ui.admin.acls= spar.
【修改源码】hadoop 3.3.1 failed with status code 401 Response message: Authentication required
hiliang521的博客
09-19 1249
本文主要通过修改源码解决hadoop内部通讯鉴权的问题。
Spark History Server配置使用
weixin_33696106的博客
09-19 551
Spark history Server产生背景 以standalone运行模式为例,在运行Spark Application的时候,Spark会提供一个WEBUI列出应用程序的运行时信息;但该WEBUI随着Application的完成(成功/失败)而关闭,也就是说,Spark Application运行完(成功/失败)后,将无法查看Application的历史记录; Spark histor...
【漏洞复现】Apache Spark 授权访问漏洞
做自己喜欢的事,并将其发挥到极致!
08-31 4038
Apache Spark 授权访问漏洞,详情请点击内容进入......
部署Spark的历史服务器---Spark History Server
冷锋的博客
10-12 1595
部署Spark的历史服务器—Spark History Server 一、配置spark历史服务器 此操作是建立在“部署基于Standalone模式部署Spark集群”之上的,也是我的上一篇博客 https://editor.csdn.net/md/?articleId=109015894 1.1、进入Spark安装目录下的conf目录 cd /usr/spark/spark-2.4.7-bin-hadoop2.7/conf/ 1.2、编辑spark-default.conf文件, 找到 # spark
Spark History server配置使用
逝无痕——kaidy
04-02 1821
文章目录为什么需要HistoryServerHistoryServer简介HistoryServer配置1 新建保存spark events的目录2 配置spark-defaults.conf3 配置spark-env.sh启动HistoryServer 为什么需要HistoryServerSpark安装成功,通过spark-submit工具提交任务后,只要在Spark应用程序运行期间,可以通...
【网址收藏】Spark History Server配置及使用
学亮编程手记
01-18 348
https://blog.csdn.net/xiligey1/article/details/82457302
spark入门之spark Driver Web UI
热门推荐
minge_se的博客
01-24 1万+
*注:本文为本人结合网上资料翻译 Apache Spark 2.x for Java developers 一书而来,仅作个人学习研究之用,支持转载,但务必注明出处。 一、概述 本节将提供Spark driver‘s UI的一些重要方面。 我们将在Spark UI上看到我们使用Spark shell执行的作业的统计信息。 在启动spark-shell时,调试信息会给出
Spark与Hadoop的关系是什么?
最新发布
04-20
Spark与Hadoop是两个大数据处理框架,它们之间有着密切的关系。具体来说,Spark可以在Hadoop集群上运行,并且可以与Hadoop的分布式文件系统(HDFS)以及Hadoop的资源管理器(YARN)进行集成。 Spark与Hadoop的关系可以从以下几个方面来理解: 1. 数据存储:Hadoop提供了分布式文件系统HDFS,用于存储大规模数据。Spark可以直接读取和写入HDFS中的数据,利用HDFS的数据冗余和容错机制来保证数据的可靠性。 2. 资源管理:Hadoop的资源管理器YARN可以对集群中的资源进行统一管理和分配。Spark可以通过YARN来获取集群资源,并在集群中进行任务调度和执行。 3. 数据处理:Spark提供了比Hadoop更为高级和灵活的数据处理能力。它支持更多种类的数据处理操作,如批处理、流处理、机器学习和图计算等。Spark的计算速度也比Hadoop更快,因为它将数据存储在内存中进行计算,而不是从磁盘读取数据。 4. 兼容性:Spark可以与Hadoop生态系统中的其他工具和组件进行无缝集成,如Hive、HBase、Pig等。这使得用户可以在Spark中使用这些工具进行数据处理和分析。 总结来说,Spark与Hadoop的关系是互补的。Spark在Hadoop基础上提供了更强大和高效的数据处理能力,同时也能够与Hadoop的存储和资源管理系统进行无缝集成,使得用户可以更好地利用大数据处理和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明哥的IT随笔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值