如何杜绝 spark history server ui 的未授权访问?

最新推荐文章于 2023-08-14 11:42:23 发布
最新推荐文章于 2023-08-14 11:42:23 发布
阅读量1.3k 收藏
点赞数
分类专栏: 大数据 数据安全 文章标签: spark 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MichaelLi916/article/details/127884069
版权

如何杜绝 spark history server ui 的未授权访问?

1 问题背景

默认状况下,Spark history Sever ui 是没有任何访问控制机制的,任何用户只要知道 shs 对应的 url,就可以访问链接查看 spark 作业的运行状况。

在证券基金银行等金融行业中,客户大都对信息安全有着较靠的要求,上述未授权访问的情况肯定是要杜绝的。那么如何配置以杜绝上述对 shs ui 的未授权访问呢?

2 开启 kerberos 的大数据集群环境中,如何杜绝对 shs ui 的未授权访问?

在信息安全要求较高的环境中,我们推荐开启大数据集群的 kerberos 安全认证,从而对整个集群中的 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等服务提供认证保护。

  • 此时这些服务如 hdfs/yarn/hive/hbase/kafka/zookeeper/spark 等的客户端,在使用 rpc 协议访问服务端时,只有在经过 kerberos 认证后才能访问成功;
  • 在访问这些服务的 web ui 时,比如 namenode/resourceManager/hive hs2/spark History Server 等的 web ui,此时客户使用的客户端工具是 web 浏览器,此时为对使用浏览器基于 http/https 访问 web UI 的用户进行身份验证,可以在服务端配置是否启用 spnego(spnego 底层基于 kerberos);
  • 当没有启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时,任何用户都可以在不经过 kerberos 认证的情况下访问 webui;
  • 当启用 spnego 对访问 HTTP Web 控制台的用户进行身份验证时,用户只有在成功通过了 kerberos 认证拿到了 ticket 后,才能成功访问对应服务的 web ui(需要在浏览器中做相应配置);
  • 可以手动在服务端后台配置文件中,通过一系列的参数配置是否启用对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证;
  • 在 CDH 中,可以通过 cm web ui 白屏化操作,以开启或关闭对 hdfs/yarn/hive/spark 等服务的 web ui 的 spnego 身份验证,“启用 HTTP Web 控制台的 Kerberos 身份验证”,如下所示:

结合配置以下参数,即可控制对 SHS UI 的授权访问:

spark.history.ui.acls.enable=true
spark.history.ui.admin.acls=spark
spark.history.ui.admin.acls.groups

此时,通过浏览器访问 shs web ui 时,在没有经过 kerberos 安全认证时,就会报类似如下的错误:

3 SHS UI 访问控制背后的实现机制

  • 查阅官方文档可知,Spark UI 的认证,包括 shs ui 的认证,使用的都是 servlet 过滤器;
  • 而 spark 本身并没有提供任何内置的认证 过滤器, 大家需要根据自己的认证机制自己实现一个认证过滤器,并配置参数 spark.ui.filters 使用该过滤器;
  • 参数 spark.ui.filters 可以配置多个过滤器,以逗号隔开即开;

  • 注意参数 spark.authenticate:该参数控制 Spark 内部各个进程进行 rpc 通信时是否需要经过认证,而不是控制用户访问 spark webui时是否需要经过认证;
  • 在配置了认证过滤器的基础上,就可以通过配置参数 spark.acls.enable/spark.history.ui.acls.enable 分别对 spark/shs 的 webui 开启或关闭访问控制;

  • 访问控制列表具体包括三种,即 view acl(只具有view权限),modify acl(只具有 Modify权限) 和 admin acl(具有view和modify权限);
  • 配置访问控制列表时,可以配置用户也可以配置用户组;(支持配置逗号分隔的多个值,也支持配置*通配符);
  • spark/shs webui的访问控制相关参数如下:
spark.acls.enable
spark.admin.acls
spark.admin.acls.groups
spark.modify.acls
spark.modify.acls.groups	
spark.ui.view.acls
spark.ui.view.acls.groups
spark.user.groups.mapping
spark.history.ui.acls.enable
spark.history.ui.admin.acls
spark.history.ui.admin.acls.groups
  • Hadoop 提供了一个 servlet 认证过滤器,即 org.apache.hadoop.security.authentication.server.AuthenticationFilter,和一个可以配套使用的 spnego 认证机制的实现类,即 org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler;

  • 在开启 kerberos 的大数据集群环境中,为实现对 shs ui 的访问控制,背后即可配置使用上述 hadoop 提供的认证过滤器和spnego 认证实现类;
  • 在 CDH/CDP 环境中,可以通过查看 shs 进程背后的配置文件,确认其正是使用了上述访问控制机制,和上述 hadoop 提供的认证过滤器和spnego 认证实现类:

详细的配置参数如下:

//通过以下配置项开启了 shs ui 的 spnego 认证
spark.ui.filters=org.apache.spark.deploy.yarn.YarnProxyRedirectFilter,
最低0.47元/天 解锁文章
明哥的IT随笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spark ui acl 不生效的问题分析
weixin_34050519的博客
04-12 836
spark ui acl 不生效的问题分析 按照spark 文档配置了spark.acls.enable,spark.ui.view.acls 等参数,再去访问spark web ui后台,还是可以访问,说明acl没有生效。为什么么有生效呢?本人查看了spark源码后,发现要让acl 生效,还要配置filter。源码如下: private[spark] class Security...
Spark授权访问getshell
Kevin's Blog
06-01 5296
一、介绍   apache顶级项目,大规模数据处理计算引擎。为了方便的给使用者控制系统进行计算和查看任务结果,提供了WebUI图形化界面和相应的REST API方便用户操作。支持用户向管理节点提交应用,并分发给集群使用,如果管理节点启用ACL(访问控制),我们便可在集群中执行任意代码。 二、环境搭建 受害者IP:192.168.226.140(vulhub漏洞靶场、docker) 》》standalone模式启动一个Apache Spark集群 》》查看启动的端口服务 》》浏览器访问即可看到mas
Apache Spark 授权访问漏洞复现
yzl_007的博客
08-26 4743
Apache Spark 授权访问漏洞复现 Apache Spark 授权访问漏洞复现介绍环境搭建漏洞复现使用msf进行攻击另一个方法 介绍 Apache Spark是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行。如果管理节点启动ACL(访问控制),我们将可以在集群中执行任意代码。 环境搭建 kali :192.168.89.130 使用vulhub漏洞靶场搭建,进入目录下/spark/unacc ,运行 docker-compose up -d [外链图片转存失败,源站可能有防
Apache Spark授权访问漏洞排查
最新发布
dayouzi的博客
08-14 992
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。由于Apache Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在授权的情况下,远程发送精心构造的过程调用指令,启动Spark集群上的应用程序资源,获得目标服务器的权限,实现远程代码执行。相关链接。
spark报错——无法访问WebUI
weixin_63507910的博客
04-17 1244
并且spark启动无报错,shell登入正常,唯独无法访问WebUI,通过日志最后发现,并非无法访问WebUI,而是spark在启动中,无法绑定到端口8080,导致spark绑定到其他端口,所以无法通过8080访问WebUI。同时,无法访问WebUI也有很多原因,如进程启动失败等导致,建议读者通过日志记录查找问题,最后通过搜索引擎解决问题。笔者在安装spark,并配置spark高可用后,发现无法访问spark的WebUI,即无法访问。关于进程启动失败,而无法访问WebUI,请看笔者这篇文章。
CDH6.3.2防止被攻击,打补丁(授权漏洞)
黑眼圈@~@从不出水文
12-13 994
对CDH集群的HDFS增加身份验证
Spark性能调优
02-26
摘要:通常我们对一个系统进行性能优化无怪乎两个步骤——性能监控和参数调整,本文主要分享的也是这两方面内容。通常我们对一个系统进行性能优化无怪乎两个步骤——性能监控和参数调整,本文主要...2.historyserver
Spark编程基础及项目实践》试卷及答案2套.pdf
04-04
10. **Spark服务端口**:Spark默认使用的端口包括8080(Web UI)、4040(Spark History Server UI),18080可能不是Spark自带的服务端口。 11. **广播变量**:广播变量在Spark中是只读的,存储在每个节点上,但不...
Spark生产优化总结
04-27
Spark 任务调度是 Spark 生产优化的关键,Spark 的任务调度可以使用 YARN 调度,启动 start-history-server.sh 可以查看任务运行状况。Metrics REST API 可以查看任务的详细信息。外部监控工具如 Ganglia 和 ...
spark-2.41-hadoop2.6
04-22
7. 集成工具:Spark提供了一系列工具,如SparkSubmit用于提交应用,Spark History Server用于查看应用历史,以及Spark Web UI用于监控应用状态。 在下载并解压"spark-2.4.1-bin-hadoop2.6"压缩包后,用户通常会找到...
java提交spark任务到yarn平台的配置讲解共9页
11-21
2. Spark History Server:启用Spark History Server,可以查看Spark作业的历史记录和日志。 六、优化技巧 1. 参数调优:根据集群资源和任务需求调整executor的数量、内存和CPU等参数。 2. 数据源和持久化:合理...
【修改源码】hadoop 3.3.1 failed with status code 401 Response message: Authentication required
hiliang521的博客
09-19 1264
本文主要通过修改源码解决hadoop内部通讯鉴权的问题。
Spark History Server配置使用
weixin_33696106的博客
09-19 552
Spark history Server产生背景 以standalone运行模式为例,在运行Spark Application的时候,Spark会提供一个WEBUI列出应用程序的运行时信息;但该WEBUI随着Application的完成(成功/失败)而关闭,也就是说,Spark Application运行完(成功/失败)后,将无法查看Application的历史记录; Spark histor...
部署Spark的历史服务器---Spark History Server
冷锋的博客
10-12 1615
部署Spark的历史服务器—Spark History Server 一、配置spark历史服务器 此操作是建立在“部署基于Standalone模式部署Spark集群”之上的,也是我的上一篇博客 https://editor.csdn.net/md/?articleId=109015894 1.1、进入Spark安装目录下的conf目录 cd /usr/spark/spark-2.4.7-bin-hadoop2.7/conf/ 1.2、编辑spark-default.conf文件, 找到 # spark
spark入门之spark Driver Web UI
热门推荐
minge_se的博客
01-24 1万+
*注:本文为本人结合网上资料翻译 Apache Spark 2.x for Java developers 一书而来,仅作个人学习研究之用,支持转载,但务必注明出处。 一、概述 本节将提供Spark driver‘s UI的一些重要方面。 我们将在Spark UI上看到我们使用Spark shell执行的作业的统计信息。 在启动spark-shell时,调试信息会给出
Spark HistoryServer日志解析&清理异常
学亮编程手记
07-22 2315
Spark HistoryServer日志解析&清理异常 一、背景介绍 用户在使用 Spark 提交任务时,经常会出现任务完成后在 HistoryServerSpark 1.6 和 Spark 2.1 HistoryServer 合并,统一由 Spark 2.1 HistoryServer 管控,因此本文的代码分析都是基于 Spark 2.1 版本的代码展开的)中找不到 appid 信息,尤其是对于失败的任务,用户无法查看日志分析任务失败的原因。为此,特地对 Spark 2.1 HistorySe
spark history server 单独部署,作为微服务提供日志服务
mtj66的博客,交流WX:SpringBreeze1104
06-06 820
场景: 在spark history server部署的时候,一般在生产机器上,但是开发,或者是测试的时候,如果要做网络隔离,你就无法看到生产上的日志了, 如果开放VPN访问生产集群,也是可以的,但是现在不开放了,如何解决查看spark日志的问题. 打开history server的源代码:org.apache.spark.deploy.history.HistoryServer看个究竟. ...
CDH 端口授权访问:hdfs-50070, yarn-8088, jetty漏洞修复
eyeofeagle的博客
10-05 5035
【代码】CDH 端口授权访问:hdfs-50070, yarn-8088, jetty漏洞修复。
授权访问漏洞总结
weixin_45439698的博客
07-29 5889
授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 常见的授权访问漏洞 1.MongoDB 授权访问漏洞 2.Redis 授权访问漏洞 3.Memcached 授权访问漏洞CVE-2013-7239 4.JBOSS 授权访问漏洞 5.VNC 授权访问漏洞 6.Docker 授权访问漏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明哥的IT随笔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值