HDFS 的权限管理不可怕,一篇文章搞懂它

最新推荐文章于 2023-02-14 10:41:44 发布
最新推荐文章于 2023-02-14 10:41:44 发布
阅读量1.1w 收藏 14
点赞数 13
分类专栏: 大数据技术体系 文章标签: 大数据 hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shockang/article/details/117572175
版权

前言

本文隶属于专栏《1000个问题搞定大数据技术体系》,该专栏为笔者原创,引用请注明来源,不足和错误之处请在评论区帮忙指出,谢谢!

本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系

正文

概述

Hadoop分布式文件系统实现了一个和 POSIX 系统类似的文件和目录的权限模式。

每个文件和目录有一个所有者(Owner)和一个组(Group)。

文件或目录对其所有者、同组的其他用户以及所有其他用户分别有着不同的权限

  1. 对文件而言,当读取这个文件时需要有r权限,当写入或者追加到文件时需要有w权限。
  2. 对目录而言,当列出目录内容时需要具有r权限,当新建或删除子文件或子目录时需要有权限,当访问目录的子节点时需要有x权限。
  3. 不同于 POSIX 模型,为了简单起见,此处没有目录的 sticky、 setuid 或 setgid 位。

总的来说文件或目录的权限即为它的模式(Mode)。

HDFS采用了UNIX表示和显示模式的习惯,包括使用八进制数来表示权限。

当新建一个文件或目录,它的所有者即客户进程的用户,它的所属组为父目录的组(BSD的规定)。

每个访问HDFS的用户进程的标识分为两部分,分别为用户名和组名列表。

每次用户进程访问一个文件或目录 ,HDFS都要对其进行权限检査
  1. 如果用户 即 目录的所有者,则检查所有者的访问权限。
  2. 如果 目录 关联的组在组名列表中出现,则检查组用户的访问权限。
  3. 否则检查 目录 其他用户的访问权限。

如果权限检査失败,则客户的操作会失败。

用户身份

在目前版本中,客户端用户身份是通过宿主操作系统给出的,对类UNIX系统来说:

  1. 用户名等于 whoami
  2. 组列表等于 bash -c groups

期望用前面提到的方式来防止一个用户假冒另一个用户是不现实的。

这种用户身份识别机制结合权限模型允许一个协作团体以一种有组织的形式共享文件系统中的资源。

不管怎样,用户身份机制对HDFS本身来说只是外部特性。HDFS并不提供创建用户身份、创建组或处理用户凭证等功能。

系统的实现

每次文件或目录操作都传递完整的路径名给 NameNode,每一个操作都会对此路径做权限检査。

客户框架会隐式地将用户身份与 NameNode 的连接关联起来,从而减少改变现有客户端API的需求。

经常会有这种情况,当对一个文件的某一操作成功后,之后同样的操作却失败,这是因为文件或路径上的某些目录已经不复存在了。

例如,客户端先开始读一个文件,它向 NameNode发出一个请求以获取文件第一个数据块的位置,但接下来获取其他数据块的第二个请求可能会失败。

另外,删除一个文件并不会撤销客户端已经获得的对文件数据块的访问权限。

而权限管理能使客户端对一个文件的访问许可在两次请求之间被收回。权限的改变并不会撤销当前客户端对文件数据块的访问许可。

MapReduce 框架通过传递字符串来指派用户身份,没有做其他特别的安全方面的考虑。

文件或目录的所有者和组属性是以字符串的形式保存的,而不是像传统的UNIX方式转换为用户和组的数字ID。

超级用户

超级用户即运行 NameNode 进程的用户

宽泛地讲,如果启动了 NameNode,启动者即为超级用户。

超级用户可以做任何事情,因为超级用户能够通过所有的权限检査。

没有永久记号来保留谁过去为超级用户。当 NameNode 开始运行时,进程自动判断谁现在为超级用户。

HDFS的超级用户不一定非得为 NameNode 主机上的超级用户,也不需要所有的集群的超级用户都为一个。

同样地,在个人工作站上运行 HDFS 的实验者,无须任何配置即已方便地成为他的部署实例的超级用户。

另外,管理员可以用配置参数指定一组特定的用户,如果做了设定,这个组的成员也会成为超级用户。

Web服务器

Web服务器的身份为一个可配置参数。

NameNode 并没有真实用户的概念,但 Web 服务器表现得就像它具有管理员选定的用户的身份(用户名和组)一样。

除非这个选定的身份是超级用户,否则会有名字空间中的一部分对 Web 服务器来说不可见。

在线升级

如果集群在0.19版本的数据集(FSImage)上启动,所有的文件和目录都有所有者 O、组 G 和模式 M,此处 O 和 G 分别为超级用户的用户标识和组名,M 为一个配置参数

配置参数

dfs.permissions=true

如果为true,则打开前文所述的权限系统。

如果为 false,权限检查即为关闭的,但是其他行为没有改变。这个配置参数的改变并不改变文件或目录的模式、所有者和组等信息。

不管权限模式是开还是关, chmod、 chgrp 和 chown总是会检查权限。

这些命令只有在权限检査背景下オ有用,所以不会有兼容性问题。

这样,就能让管理员在打开常规的权限检査之前可以可靠地设置文件的所有者和权限。

dfs.web.ugi=webuser,webgroup

Web服务器使用的用户名。

如果将这个参数设置为超级用户的名称,则所有 Web 客户就可以看到所有的信息。

如果将这个参数设置为一个不使用的用户,则 Web 客户就只能访问到 other 权限可访问的资源了。

额外的组可以加在后面,形成一个用逗号分隔的列表。

dfs.permissions.supergroup=supergroup

超级用户的组名。

dfs.upgrade.permission=777

升级时的初始模式。

文件永远不会被设置x权限。在配置文件中,可以使用十进制数

dfs.umask=002

umask参数在创建文件和目录时使用。

在配置文件中,可以使用十进制数18。

Shockang
关注
专栏目录
HDFS中的文件访问权限
悟已往之不谏,知来者之可追
02-06 4071
针对文件和目录,HDFS有与POSIX(可移植操作系统界面)非常相似的权限模式。 一共提供三类权限模式:只读权限(r),写入权限(w)和可执行权限(x)。读取文件或列出目录内容时需要只读权限。写入一个文件,或是在一个目录上创建以及删除文件或目录,需要写入权限。对于文件而言,可执行权限可以忽略。因为你不能在HDFS中执行文件(与POSIX不同),但是在访问一个目录的子项时需要改权限。
HDFS权限管理
zzaliubi的博客
04-22 2670
HDFS权限管理 一、概述 HDFS实现了一种权限模型。每一个文件或者文件夹,都有属主和属组。文件或文件夹对其他的用户(非属组和属主的用户)也是有单独的权限可以设定。 对于文件来讲,r 代表着可读权限,w 代表着可写或追加的权限。由于HDFS上的文件不能执行,所以没有x权限。 对于文件夹来讲,r 代表可以读取文件列表。w 代表可以创建或删除这个文件夹里面的文件或文件夹。x代表可以进入这个文件夹的子目录。 如上图所示, d rwx rwx rwx 一共为四部分。 第一部分的d,代表目录,如果是文件则为空。
HDFS文件访问权限
weixin_30887919的博客
07-30 551
HDFS中的文件访问权限 针对文件和目录,HDFS的权限模式与POSIX非常相似一共提供三类权限模式:只读权限(r)、写入权限(w)和可执行权限(x)。读取文件或列出目录内容时需要只读权限。写入一个文件或是在一个目录上新建及删除文件或目录,需要写入权限。对于文件而言,可执行权限可以忽略,因为你不能再HDFS中执行文件(与POSIX不同),但在访问一个目录的子项时需要改权限。每个文件和目录都有所属...
HDFS权限管理用户指南
cyy2learn的博客
08-10 783
转自:http://hadoop.apache.org/docs/r1.0.4/cn/hdfs_permissions_guide.html HDFS权限管理用户指南 概述用户身份理解系统的实现文件系统API变更Shell命令变更超级用户Web服务器在线升级配置参数 概述 Hadoop分布式文件系统实现了一个和POSIX系统类似的文件和目录的权限模型。每个文
HDFS权限
叁木大数据
09-08 2145
HDFS权限 一、HDFS权限简介 Hdfs权限管理分为2大部分: 第一部分类似于Linux的基本权限管理,也就是粗粒度将管理对象分为user、group和other三类去进行权限的管理。 第二部分是ACL方式的权限管理,也是更加细粒度的权限管理,可以精确控制到某个user与某个group具有的对应权限上。 注:hadoop2.4.0版本开始支持hdfs的ACL 二、HDFS 基本权限管理 2.1 初始目录权限 当我们创建文件或者目录的时候可以指定权限,没有指定的话就会使用默认的权限。 文件默认权限:
HDFS中的文件访问权限(4)
weixin_33767813的博客
02-22 303
2019独角兽企业重金招聘Python工程师标准>>> ...
一篇文章搞懂HDFS权限管理.pdf
最新发布
06-21
### HDFS权限管理详解 #### 一、引言 随着大数据技术的发展,Hadoop已成为处理大规模数据集的重要工具。作为Hadoop的核心组件之一,HDFS(Hadoop Distributed File System)承担着海量数据的存储任务。在企业环境...
一篇文章彻底理解 HDFS 的安全模式
明哥的IT随笔
11-19 3381
一篇文章彻底理解 HDFS 的安全模式
HDFS管理工具HDFS Explorer下载地址、使用方法.docx
06-01
HDFS Explorer是一款专为Windows平台设计的HDFS文件管理系统,它使得用户能够像操作本地文件系统一样便捷地管理和浏览Hadoop分布式文件系统(HDFS)。尽管官方已经停止更新此软件,但它仍然是许多Hadoop用户在...
Hadoop-HDFS安装和管理.doc
09-18
Hadoop_HDFS安装和管理
HDFS权限管理
goat的博客
12-20 6943
一文带你了解HDFS权限管理~~~
Hadoop用户权限管理hdfs权限管理
weixin_42487706的博客
04-24 2935
1.创建用户student1,所属分组为students chown -R student1:students/home/hadoop/hadoop-2.7.6root用户将hadoop的相关操作权限授予student1 2.修改Hadoop目录的权限 chmod -R 755/home/hadoop/hadoop-2.7.6 3.hadoop fs -mkdir /user/stud...
HDFS 快照
RonieWhite的博客
12-22 513
概述 HDFS 快照(Snapshots)是文件系统在特定时间点生成的只读备份。快照可以在文件系统的一个子分支或整个文件系统上生成。快照的常见使用场景就是数据的备份,以达到容错容灾的目的。 快照的创建是瞬时的:复杂度为O(1)(不包含inode查找时间)。 仅当对快照进行修改时才使用额外的内存:内存使用空间复杂度是O(M),其中M是修改的文件/目录的数量。 DataNode里的数据块不会被复制:快照文件只对数据块,数据块的大小进行记录,不产生数据复制。 快照不会对常规HDFS操作产生负面影响:修改
Hadoop学习笔记[3]-HDFS权限验证与客户端开发
unlock的博客
02-05 1656
Hadoop学习笔记[3]-HDFS权限验证与客户端开发   hdfs自身没有用户体系,需要依靠第三方提供。例如LDAP,kerberos,linux系统用户等,但是HDFS和linux一样有超级管理员的概念,linux的超级管理员是root,HDFS的超级管理员是启动NN的用户,比如用hdp01用户启动hdfs,则hdfs的超级用户就是hdp01   虽然HDFS没有用户的概念,但是有自身的权限体系,权限命令和linux差不多,可以赋权给用户或者用户组对应的权限 1、权限相关命令实战 1-1 熟悉几个命令
HDFS Permissions Guide
来啊 快活啊
08-19 2381
HDFS Permission Guide Overview HDFS实现了一个文件和目录权限模型,拥有很多POXIS模型的影子。每个文件和目录与一个所有者和一个用户组相关联。文件或目录有各自的用户权限,用户包括所有者,所有者同组的其他用户,所有其他的用户。对于文件来说,r权限代表读文件,w权限代表写或者追加数据到文件。对于目录,r表示可以列出目录的内容,w权限代表可以创建或者删除文件或目录,
Hadoop学习-6-HDFS权限管理
DMF363的博客
12-08 2072
HDFS权限管理
Hadoop的安全/权限管理
热门推荐
肖韬的BLOG
05-20 1万+
为什么要注重权限管理Hadoop集群装好了,其自身几乎没有对安全/用户权限的配置。用户可以轻易地伪造自己的身份来破坏Hadoop集群,例如,从client伪装成一个hdfs用户删除HDFS中的全部数据,或者伪装成mapred用户提交一个恶意的job。对于商业用户而言,数据安全是最重要的。所以,对于Hadoop集群而言,必须进行一定的安全配置,保证数据和集群的安全。
Hadoop web端没有修改权限
p_v_q的博客
02-14 858
web端操作hadoop文件时出现错误:user=dr.who, access=WRITE, inode="/movies":user:supergroup:drwxr-xr-x
Hadoop HDFS安装与管理详解
Hadoop_HDFS安装和管理是大数据处理领域中的一个重要组件,Hadoop_HDFS是Hadoop分布式文件系统的核心组件。下面是Hadoop_HDFS安装和管理的相关知识点: 1. 环境准备 在安装HDFS之前,需要进行环境准备,包括安装...
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值