HDFS权限管理概述

1、HDFS权限管理概述

HDFS（Hadoop Distributed File System）的权限管理机制与linux文件系统的权限管理类似，主要通过用户、组和权限位来控制对文件和目录的访问。HDFS权限管理包括文件/目录的所有者、所属组以及读r、写w、执行x权限。

1.1权限位说明

HDFS中的每个文件和目录都有三组权限位，分别对应所有者、所属组和其他用户。每组权限位包含三个权限：

drwxr-xr-x
↑↑↑↑↑↑↑↑↑
│││││││└─ 其他用户：r-x
││││└─┴── 所属组：r-x
│└─┴──── 所有者：rwx
└─────── 类型：d=目录，-=文件

• r（读）：允许读取文件或列出目录内容。
• w（写）：允许写入文件或在目录中创建、删除文件。
• x（执行）：允许执行文件或访问目录中的子目录。

1.3 常用权限命令

权限查看

# 查看文件/目录权限
hdfs dfs -ls /path/to/file_or_dir
# 输出示例：drwxr-xr-x   - hdfs supergroup  0 2023-01-01 12:00 /data
# 解释：d(目录) rwx(用户) r-x(组) r-x(其他)

修改文件/目录权限

使用hdfs dfs -chmod命令可以修改文件或目录的权限。权限可以使用数字模式或符号模式指定。

# 使用数字模式修改权限
hdfs dfs -chmod 755 /path/to/directory

# 使用符号模式修改权限
hdfs dfs -chmod u+rwx,g+rx,o+rx /path/to/directory

修改文件/目录所有者

使用hdfs dfs -chown命令可以修改文件或目录的所有者和所属组。

# 修改所有者/组
hdfs dfs -chown newowner:newgroup /path/to/directory

# 仅修改所有者
hdfs dfs -chown newowner /path/to/directory

# 仅修改所属组
hdfs dfs -chown :newgroup /path/to/directory

修改文件/目录所属组

使用hdfs dfs -chgrp命令可以修改文件或目录的所属组。

hdfs dfs -chgrp newgroup /path/to/directory

权限继承

在HDFS中，新建文件或目录的权限默认继承自父目录的权限。可以通过设置dfs.permissions参数来启用或禁用权限检查。

1.4 超级用户权限

HDFS有一个特殊的超级用户：（超级用户不一定是root）

• 默认是启动NameNode进程的用户(通常是hdfs)

• 超级用户可以绕过所有权限检查

HDFS中的超级用户（通常是启动HDFS的用户）拥有对所有文件和目录的完全访问权限，不受权限位的限制。超级用户可以执行任何操作，包括修改权限、删除文件等。

安全模式

HDFS还支持安全模式（Kerberos认证），通过Kerberos认证可以进一步增强HDFS的安全性。在安全模式下，用户必须通过Kerberos认证才能访问HDFS。

（Kerberos是一种网络认证协议，由MIT开发，使用"票据"(ticket)机制实现安全的身份验证）

配置权限管理

HDFS的权限管理可以通过/etc/hadoop/hdfs-site.xml配置文件进行配置。常见的配置参数包括：

<property>
  <name>dfs.permissions.enabled</name>
  <value>true</value>
  <description>启用或禁用HDFS权限检查（如果为"true"，则在HDFS中启用权限检查;如果为"false"，则关闭权限检查;默认值为"true"。）</description>
</property>

<property>
  <name>dfs.permissions.superusergroup</name>
  <value>hadoop</value>
  <description>定义超级用户组</description>
</property>

2、HDFS ACL(访问控制列表)

除了基本权限，HDFS还支持ACL(访问控制列表)提供更细粒度的控制：

2.1 什么是ACL？

ACL（Access Control List，访问控制列表）是一种用于定义系统中哪些用户或系统进程可以访问特定对象（如文件、目录、网络资源等），以及可以对这些对象执行哪些操作的权限控制机制。

2.2 ACL的类型

        文件系统ACL：用于控制对文件和目录的访问——常见于Unix/Linux和Windows系统

        网络ACL：        用于控制网络流量——常见于路由器和防火墙

2.3 文件系统ACL详解

传统Unix权限 vs ACL

传统Unix权限只有三类权限设置（所有者、组、其他），而ACL提供了更细粒度的控制。

ACL组成

一个ACL由多个ACL条目组成，每个条目格式通常为：

[类型]:[限定符]:[权限]

ACL条目类型

• 用户条目：针对特定用户的权限

  • 格式：user:username:permissions

• 组条目：针对特定组的权限

  • 格式：group:groupname:permissions

• 掩码条目：限制组和其他用户的最大权限

  • 格式：mask::permissions

• 其他条目：相当于传统权限中的"其他"

  • 格式：other::permissions

查看ACL

在Linux系统中使用getfacl命令：

getfacl filename

设置ACL

使用setfacl命令：

# 为用户设置权限
setfacl -m u:username:rwx filename

# 为组设置权限
setfacl -m g:groupname:rx filename

# 删除特定ACL条目
setfacl -x u:username filename

# 删除所有ACL条目
setfacl -b filename

网络ACL详解

网络ACL功能

• 允许或拒绝特定IP地址/端口的流量

• 基于源/目标IP、端口号、协议类型等进行过滤

常见网络ACL

• 路由器ACL：控制通过路由器的流量

• 防火墙规则：更复杂的安全策略

• 云服务ACL：如AWS安全组、Azure NSG等

网络ACL示例（Cisco风格）

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 101 deny ip any any

ACL最佳实践

1. 最小权限原则：只授予必要的权限

2. 定期审计：检查ACL设置是否仍然符合需求

3. 文档记录：记录ACL变更和原因

4. 测试变更：在生产环境应用前进行测试

5. 使用组而非单个用户：便于管理

 ACL的优缺点

优点：

• 提供细粒度的访问控制

• 比传统权限系统更灵活

• 可以精确控制特定用户/组的权限

缺点：

• 管理复杂度增加

• 可能导致性能开销（特别是网络ACL）

• 错误的配置可能导致安全问题

ACL实现

• 需要文件系统支持（如ext4、XFS等）

• 使用setfacl和getfacl命令管理

• 需要安装ACL工具包

# 查看ACL
hdfs dfs -getfacl /path

# 设置ACL
hdfs dfs -setfacl [-R] -m user:username:rwx /path
hdfs dfs -setfacl [-R] -m group:groupname:r-x /path

# 删除ACL条目
hdfs dfs -setfacl -x user:username /path

权限校验流程

当用户访问HDFS文件时，权限校验顺序如下：

1. 如果是超级用户，直接允许访问

2. 检查文件/目录的所有者权限

3. 检查文件/目录的组权限(用户是否在该组中)

4. 检查其他用户权限

5. 如果有ACL，检查ACL规则

6. 如果以上都不满足，拒绝访问

3、特殊权限位

HDFS 除了基本的 rwx 权限外，还支持几种特殊权限位，它们提供了额外的访问控制功能。这些特殊权限位主要应用于目录，对文件系统的安全管理和共享使用非常重要。

 粘滞位 (Sticky Bit)

• 适用于所有多用户可写目录

• HDFS中替代方案：结合ACL使用

作用

• 主要功能：在共享目录中，防止非所有者用户删除或重命名他人的文件

• 限制文件删除权限：在具有粘滞位的目录中，用户只能删除自己拥有的文件

• 防止文件被随意删除：即使目录有写权限(w)，非所有者也不能删除他人文件

• 典型应用场景：/tmp 这样的公共可写目录

表示方式

• 在权限字符串的"其他用户"执行位(x)显示为 t 或 T：

  • t：同时有执行权限 (rwx → rwt)

  • T：没有执行权限 (rw-- → rw-T)

设置方法

# 添加粘滞位
hdfs dfs -chmod +t /shared_dir

# 移除粘滞位
hdfs dfs -chmod -t /shared_dir

# 通过数字模式设置(1xxx)
hdfs dfs -chmod 1777 /shared_dir  # 最后一个1表示粘滞位

SetGID (Set Group ID)

作用

• 对目录：在该目录下新建的文件/目录会自动继承目录的组，而不是创建者的主组

• 对文件：在HDFS中基本无效果

表示方式

• 在权限字符串的"组"执行位(x)显示为 s 或 S

• # 小写s表示有执行权限   # 大写S表示无执行权限

设置方法

# 设置SetGID
hdfs dfs -chmod g+s /shared_dir

# 通过数字模式设置(2xxx)
hdfs dfs -chmod 2775 /shared_dir  # 2表示SetGID位

SetUID (Set User ID)

作用

• 在HDFS中基本无实际效果

• 在传统文件系统中会使程序运行时具有文件所有者的权限

• 执行提权：用户执行该文件时，临时获得文件所有者的权限

• 安全风险：需要谨慎使用，常见于系统管理命令

表示方式

• 在权限字符串的"用户"执行位(x)显示为 s 或 S

特殊权限位的数字表示

在八进制权限表示中：

• 第一个数字表示特殊权限位：

  • 0：无特殊权限

  • 1：粘滞位

  • 2：SetGID

  • 4：SetUID

  • 可以组合使用(如 3=1+2，即粘滞位+SetGID)

4. HDFS中特殊权限位的实际应用

共享数据目录：

# 创建共享目录，设置SetGID确保文件继承目录组
hdfs dfs -mkdir /shared_data
hdfs dfs -chmod 2775 /shared_data
hdfs dfs -chown :data_team /shared_data

临时文件目录

# 类似Linux的/tmp目录
hdfs dfs -mkdir /tmp
hdfs dfs -chmod 1777 /tmp

5. 注意事项

1. 在HDFS中，SetUID位的功能基本无效，因为HDFS不执行可执行文件

2. 特殊权限位不影响HDFS的ACL权限检查

3. WebHDFS等接口可能会以不同方式显示这些特殊权限

4. 某些Hadoop版本可能对这些特殊位的支持有所不同

6. 查看特殊权限位

hdfs dfs -ls /
# 输出示例：
# drwxrwxrwt   - hdfs supergroup  0 2023-01-01 12:00 /tmp
# drwxrwsr-x   - hdfs data_team   0 2023-01-01 12:00 /shared_data

在示例中：

• /tmp 的权限 rwxrwxrwt 表示设置了粘滞位

• /shared_data 的权限 rwxrwsr-x 表示设置了SetGID位

三种特殊权限对比表

特性	粘滞位(1)	SetGID(2)	SetUID(4)
数字表示	+1000	+2000	+4000
影响对象	目录	目录/文件	可执行文件
主要功能	防删除	继承组权限	执行时提权
典型应用	/tmp目录	团队协作目录	passwd命令
HDFS支持	完全支持	支持但效果有限	基本不支持
安全风险	低	中等	高

总结

HDFS的权限管理机制通过用户、组和权限位来控制对文件和目录的访问。通过合理配置和使用相关命令，可以有效管理HDFS中的权限，确保数据的安全性和访问控制。