CDH-hdfs的acls

最新推荐文章于 2023-06-05 12:28:56 发布
最新推荐文章于 2023-06-05 12:28:56 发布
阅读量555 收藏
点赞数
分类专栏: CDH hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34224565/article/details/105905297
版权
CDH 同时被 2 个专栏收录
42 篇文章 3 订阅
订阅专栏
hdfs
10 篇文章 0 订阅
订阅专栏

巨坑

不要随便改文件权限,尤其是hadoop,ssh相关的,有可能多加了个acl用户导致无法启动,亲遇因为使用了setfacl -m -R把var下的目录都加上了etl_ai用户,导致该节点nodemanager和datanode无法启动的情况。

一、SRC

https://docs.cloudera.com/documentation/enterprise/5-16-x/topics/cdh_sg_hdfs_ext_acls.html
https://www.cnblogs.com/MLibra/p/6240209.html

chmod、chown命令跟linux原则上相同,可以把文件权限分为u,g,o三个组。而setfacl可以对每一个文件或目录设置更精确的文件权限。比如:让某一个用户对某一个文件具有某种权限。而传统的只能对属主用户的权限进行设定。将一个文件的访问者抽象为3种,每种可以设置3种权限。可以使用用户和组的组合来实现复杂的权限需求。==》每个文件可以设置多个属主、属组,每个主和组又可以单独设置权限。

HDFS支持POSIXAccess Control Lists(ACL),也就是POSIX权限控制。这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL(Access Control List)。每个文件可以设置多个属主、属组,每个主和组又可以单独设置权限,可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,可以实现更复杂的权限需求。
如,某一个文件,不让单一的某个用户访问。

2个命令:

二、getfacl

hdfs dfs -getfacl [-R] <path>

<path>: 文件或目录路径
-R: 使用此选项可以递归地列出所有文件和目录的ACL。

例:
获取/user/hdfs/file路径下的文件ACL列表
hdfs dfs -getfacl /user/hdfs/file
遍历获取/user/hdfs/file路径下所有文件ACL列表
hdfs dfs -getfacl -R /user/hdfs/file

三、setfacl

1. mask

acl权限中有个mask的选项,它是其他用户(不是其他组)的最大ACL权限。当设置其他用户或组的ACL权限时,要跟mask的权限“相与”之后产生的权限才是该用户的最终权限,也就是加入mask的最大权限是rx,但是你给st用户设置的是rwx权限,此时st用户它的权限只有rx的权限,因为与最大权限“相与”得出的结果就是rx。
如果说ACL的优先级高于UGO,那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组能够得到的最大的权限。这样我们在不改变已有ACL的定义的基础上,可以临时提高或是降低安全级别。

2. default

如果我们希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认(Default) ACL。default只能对目录设置,对目录下所有文件都有效。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。用setfacl的-d选项就可以做到这一点。

hdfs dfs -setfacl [-R] [-b|-k -m|-x <acl_spec> <path>]|[--set <acl_spec> <path>]

设置组的话只需要把setfacl -m u::rwx 中的u改为g即可,大致差不多。

设置mask的话,setfacl -m u::rwx 中的u改为m,并且这个可不针对用户和组哦,其他的大致差不多。

在使用-R时,要放在-m之前

使用-d的话,就会把默认的都加上去,针对目录哦。

COMMAND OPTIONS
<path>: 路径
<acl_spec>: 逗号分隔的ACL权限列表。
--set: 使用该选项指定的路径完全取代现有的ACL。之前的ACL将不再适用。
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑,跟随符号链接
-P,       --physical 依照自然逻辑,不跟随符号链接
          --restore=file 恢复访问控制列表,和“getfacl -R”作用相反
          --test 测试模式,并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息

例:
赋予ben用户和组读写/user/hdfs/file路径的权限。user:和group:是语法
hdfs dfs -setfacl -m user:ben:rw- /user/hdfs/file

撤销user用户及alice用户组对/user/hdfs/file路径的ACL
hdfs dfs -setfacl -x user:alice /user/hdfs/file

赋予用户user及hadoop组读写权限,给group和others只读权限
hdfs dfs -setfacl --set user::rw-,user:hadoop:rw-,group::r--,other::r-- /user/hdfs/file

[root@localhost ~]# getfacl test     #查看acl
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@localhost ~]# setfacl -m u:tank:rx test   #给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# getfacl test    #查看acl
# file: test
# owner: root
# group: root
user::rw-
user:tank:r-x      #已加入
group::r--
mask::r-x
other::r--

[root@localhost ~]# setfacl -m u::rwx test   #设置默认用户,读,写,可执行
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:tank:r-x
group::r--
mask::r-x
other::r--

[root@localhost ~]# setfacl -b test     #清除所有acl
[root@localhost ~]# getfacl test 
# file: test
# owner: root
# group: root
user::rwx
group::r--
other::r--

[root@localhost ~]# setfacl -m u:tank:rx test      #给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:testtank:rx test  #给testtank用户向test文件增加读和执行的acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
user:tank:r-x
group::r--
mask::r-x
other::r--


[root@localhost ~]# setfacl -x u:tank test    #清除tank用户,对test文件acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
group::r--
mask::r-x
other::r--

注意:父目录的acl权限不会自动应用在子目录上,想要递归应用在子目录中,要在父目录上使用default关键字执行

这个操作只针对/project
hdfs dfs -setfacl -m group:hadoopdev:r-x /project

这个操作针对/project和/project下的所有子目录
hdfs dfs -setfacl -m default:group:hadoopdev:r-x /project
hdfs dfs -mkdir /project/dev
此时/project/dev的属组会多一个hadoopdev,有r和x的权限

zdkdchao
关注
专栏目录
基于CDH5.13版本的集群HDFS调优
hadoopp的博客
08-27 753
做Hadoop集群维护大概有4年多了,其中有小三年都在维护cdh版本的集群,下面就千节点集群的HDFS调优写一下个人心得,大家可以给我指正错误的地方。 1、dfs.block.size, dfs.blocksize 该参数在5.13.1版本的cdh的默认块大小为128M,此参数事需要根据输入文件的大小以及计算是生产的map来总和考量。一般来说,文件大,集群数量少,还是建议将bl...
CDH 集成Sentry权限控制
Johnzhc的博客
08-02 3176
                                      CDH 集成Sentry权限控制 1.hue集成sentry服务 首先登陆如下界面我的是http://master:7180/cmf/home 然后点击hue组件进入下面的界面,点击配置搜索Sentry将Sentry服务的Sentry勾选上 2. hive和impala启用Sentry和上面的步骤一样这里就...
HDFS ACLs访问控制权限
ksh的博客
05-15 5689
HDFS ACLs
HDFS基于ACL权限控制
专注技术交流、咨询
12-19 918
一、开起ACL权限开关 (1)如果是Apache Hadoop:修改hdfs-site.xml的配置,并重启                     dfs.namenode.acls.enabled            true          (2)如果是CDH,登陆Cloudera Manager,选中HDFS,点击【配置】,在搜索栏中输入acl进行搜索,将【启用访问控制列
一篇文章搞懂HDFS管理权限
小米云技术
06-14 7999
小米的HDFS承载了公司内多个部门几十条业务线的几十PB数据,这些数据有些是安全级别非常高的用户隐私数据,也有被广泛被多个业务线使用的基础数据,不同的业务之间有着复杂的数据依赖。因此,如何管理好这些数据的授权,并尽可能自动化低成本的做好权限管理,是很重要的一部分工作。本文系统的描述了HDFS权限管理体系中与用户关联最紧密的授权相关内容,希望通过本文让大家对权限管理有一个清晰的了解。 HDFS的权...
HDFS权限管理以及ACL介绍
qq_32736999的博客
11-12 688
一篇文章搞懂HDFS权限管理 HDFS承载了公司内多个部门几十条业务线的几十PB数据,这些数据有些是安全级别非常高的用户隐私数据,也有被广泛被多个业务线使用的基础数据,不同的业务之间有着复杂的数据依赖。因此,如何管理好这些数据的授权,并尽可能自动化低成本的做好权限管理,是很重要的一部分工作。本文系统的描述了HDFS权限管理体系中与用户关联最紧密的授权相关内容,希望通过本文让大家对权限管理有...
数据仓库搭建_hdfs,ACL权限认证(可以精确到个人的权限)
weixin_48370579的博客
08-04 994
1、数据仓库搭建 数据仓库搭建 前提条件,Hadoop,hive 数据仓库分层作用 1、控制数据访问权限 2、减少重复计算,减少重复开发 3、为了更好的管理数据 4、让表使用者更方便使用数据 数据规范 1、分词规范,ODS,DWD,DWS,ADS,DIM,每个公司分层的方式是不一样的, 2、命令规范, 库命名规范:每一个层对应hive中一个库,每一层对应hdfs中一个目录 表命名规范,每个定义...
CDH 安装 大数据组件 报错
01-07
使用CDH来安装大数据组件的时候,当安装到YARN、Hbase、Spark的时候报错,主要原因是YARN、Hbase、Spark在HDFS里面没有权限去创建文件 Spark SecurityManager: authentication disabled; ui acls disabled; users ...
hdfs配置文件(hdfs.site.xml)详解
Norlan_L的博客
11-17 9547
简单的对hdfshdfs.site.xml)配置文件做一个简单的说明。 &lt;configuration&gt; &lt;property&gt; &lt;!-- 为namenode集群定义一个services name --&gt; &lt;name&gt;dfs.nameservices&lt;/name&gt; &lt;value&gt;ns1&lt;/value&gt; &lt
hadoop-2.6.0-cdh5.5.0.tar.gz
05-31
3. 安全性:内置了Kerberos认证,支持ACLs和审计日志,满足企业级的安全需求。 4. 兼容性:与多种数据库、存储系统和BI工具兼容,方便数据集成。 四、Hadoop 2.6.0-cdh5.5.0的关键改进 在Hadoop 2.6.0的基础上,CDH...
hdfsacl权限管理的简单实用
huan的学习记录
06-05 1094
在我们开发的过程中有这么一种场景,/projectA目录是用户创建的,他对这个目录有wrx权限,同时这个目录属于supergroup,在这个组中的用户也具有这个目录的wrx权限,对于其他人,不可访问这个目录。现在有这么一个特殊的用户root由上图可以,root用户想访问/projectA目录,在hdfs中可以通过acl来实现。
【Hadoop】hdfs使用setfacl 对hive的库赋权不生效问题
Mrerlou的博客
12-15 3783
文章目录一、前言二、问题复现1、测试hive的权限2、测试HDFS权限3、查看HDFS文件的ACL4、 手动添加ACL解决方案总结 一、前言 使用sentry赋予普通用户的权限是能正常工作,但是HDFS文件的ACL权限未同步导致不能对相应表的数据目录进行操作。并且使用HDFSsetfacl 命令也无法生效。 意味着使用beeline 连接hive 可以正常使用,但是直接使用HDFS的命令确会报权限不足的错误。 二、问题复现 1、测试hive的权限 beeline 连接 hiveserver2后,查看ri
修改hdfs上的文件所属用户、所属组等读写执行控制权限
qq5132834的专栏
04-26 1353
https://blog.csdn.net/xianjie0318/article/details/75453758 HDFS支持权限控制,但支持较弱。HDFS的设计是基于POSIX模型的,支持按用户、用户组、其他用户的读写执行控制权限。在linux命令行下,可以使用下面的命令修改文件的权限、文件所有者,文件所属组: sudo addgroup Hadoop#添加一个hadoop组 sud...
大数据运维实战第二十五课 HDFS 存储权限 ACL 控制策略以及与系统权限整合应用
fegus的博客
08-20 655
普通的权限控制模式,有时候可能无法满足多用户、多环境的使用需求。例如,HDFS 上的一个目录 /user/user1/logs,此目录要求对 A、B、C 用户可读写,要实现这个需求,有以下两种方式。第一种方式是通过普通权限控制实现。首先,将 A、B、C 三个用户加入一个组中;然后将 /user/user1/logs 目录授权为 775 权限,这样,目录所属的组也就有写此目录的权限了。虽然这个方法能够实现此需求,但是权限过于大了,无法做到精细化控制,操作也过于烦琐。第二种方式是通过POSIX ACL实现。
hdfs ACL对文件夹实现权限访问控制
热门推荐
archer的技术故事
04-08 1万+
hdfs ACL对文件夹实现权限访问控制 刚刚搭建好cdh后,在使用hdfs的基本指令的时候发现使用root用户权限不够。经过查找资料发现。root用户只是系统的超级管理员,但是不是hdfs的超级管理员。默认cdh安装后,超级管理原始hdfs。如下图: 如果想让root能够在某个hdfs文件夹中具有权限,就需要使用hdfs dfs -setfacl的指令,具体可以参考官方的网址
HDFS文件权限及ACL访问控制
大怀特的博客
10-15 2908
1、权限相关配置 2、hdfs acl权限实体类别 3、hdfs acl权限生效的算法规则 4、hdfs acl shell命令 5、hdfs acl FileSystem 相关API dfs文件权限及ACL访问控制 1、权限相关配置 (1)、hdfs-site.xml设置启动acl <property> <name>dfs.permissions.enabled</name> <value>true</v
Hadoop之——setfacl 设置访问控制列表异常
冰河的专栏
07-07 2731
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/94992969 默认情况下,在命令行执行Hadoop的设置访问控制列表时,出现异常,具体异常信息如下: setfacl: The ACL operation has been rejected. Support for ACLs has been disabled by s...
HDFS】权限管理
goat的博客
12-20 6899
一文带你了解HDFS的权限管理~~~
hdfs权限控制部分指令
Yrz7746321的博客
06-12 345
hdfs dfs -getfacl <path> hdfs dfs -getfacl -m <path> # 查询目录的ACL规则 hdfs dfs -getfacl /user # 为指定user添加权限(user名为hadoo) hdfs dfs -setfacl -m user:hadoop:rwx /user # 为指定group添加权限(group名为group) hdfs dfs -setfacl -m group:hadoop:rwx /user # 删除指..
cdh-6.3.2下载
最新发布
01-29
CDH-6.3.2是由Cloudera提供的一个开源的Hadoop生态系统版本。CDH包含了许多Apache项目,如Hadoop、HBase、Hive、Impala等,并且集成了Cloudera自家开发的一些工具和服务。 要下载CDH-6.3.2,首先需要访问Cloudera官网(www.cloudera.com)。在官网上,可以找到下载页面,其中包含了各个版本的CDH。 在下载页面上,可以找到CDH-6.3.2的下载链接。点击相关链接后,会跳转到下载页面。在下载页面上,可以选择各个组件的二进制文件、文档以及示例代码等。 选择相应的组件二进制文件后,会开始下载CDH-6.3.2的安装包。下载的速度取决于网络连接的速度和服务器的负载情况。 一旦下载完成,就可以在本地进行安装。在安装之前,需要确保系统满足CDH的运行要求,如硬件配置和操作系统版本等。 CDH-6.3.2的安装过程是相对复杂和耗时的,需要仔细按照官方提供的文档进行操作。安装过程涉及到配置各个组件的参数、设置集群的配置文件以及启动服务等等。 一旦安装完成,就可以开始使用CDH-6.3.2了。CDH提供了一个Web界面,可以通过浏览器访问进行集群管理和监控。同时,也可以使用相应的命令行工具来操作和管理集群。 总结来说,要下载CDH-6.3.2,首先需要访问Cloudera官网的下载页面,选择相应的组件二进制文件进行下载。然后,按照官方文档的指引进行安装、配置和启动。最后,通过Web界面或命令行工具来管理和操作集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值