大数据安全认证技术Kerberos

最新推荐文章于 2024-06-10 22:47:22 发布
最新推荐文章于 2024-06-10 22:47:22 发布
阅读量769 收藏
点赞数
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43079376/article/details/109089576
版权

对于简单安装的上线的hadoop集群,我们可以认为有如下安全隐患
可以人为的添加一个客户端节点,并以此假冒的客户端来获取集群数据,对于假冒的客户端节点,成功加入集群,就能够伪装成datanode 让得到namenode指派的任务和数据.创建hdfs账户,就可以得到hadoop文件系统的最高权限

Kerberos主要用来做网络通讯中的身份认证,帮助我们高效,安全的识别访问者

Kerberos Server的安装
  1. 在hadoop1上安装服务端
    yum install -y krb5-libs krb5-server krb5-workstation
  2. 配置文件位置
  • 文件位置 /etc/krb5.conf
    vim /etc/krb5.conf
    includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_rearellm = false
ticket_lifetime = 24h # 票据有效期
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
default_realm = SOFENCY.TOP #默认的域名后缀 即指的是下面[realms]下的值
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
SOFENCY.TOP = {
  kdc = hadoop1.sofency.top
  admin_server = hadoop1.sofency.top
}
[domain_realm]
.sofency.top = SOFENCY.TOP
sofency.top = SOFENCY.TOP
    名词解释
    1. realm 域:表示一个公司或者一个组织,逻辑上授权认证范围
    2. logging块配置日志相关
    3. libdefaults块配置默认的设置,包括ticket的声明周期
    4. realms 是域的配置,可以配置多个realm
    5. domain_realm是kerberos内的域和主机名的域的对应关系 即hadoop1.sofency.top hadoop2.sofency.top等均是SOFENCY.TOP这个realm
  • 配置/var/kerberos/krb5kdc/kdc.conf 按照如下进行修改
    [kdcdefaults]
kdc_ports = 88  #端口号
kdc_tcp_ports = 88
[realms]
SOFENCY.TOP = {
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
    名词解释
    1. acl_file: kerberos acl的一些配置对应的文件
    2. kerberos admin账户的keytab本地路径
    3. keytab 登陆凭证 有了这个相当于直接有了ticket,可以免密直接登录某个账户,所以这个文件很重要

  1. 初始化kerberos数据库
    kdb5_util create -s -r SOFENCY.TOP 注意SOFENCY.TOP是自己设定的realm
    然后根据命令要求设置数据库master的密码,要求输入两次,一定要记住
    初始化完成后进入 /var/kerberos/krb5kdc下会生成如下几个文件
    在这里插入图片描述

  2. kerberos的常规操作

    1. 进入kerberos数据库
      kadmin.local
    2. 展示用户
      listprincs
    3. 创建SOFENCY.TOP域内的管理员 */admin@SOFENCY.TOP的用户拥有所有的权限
      具体在/var/kerberos/krb5kdc/kadm5.acl进行设置
      addprinc root/admin@SOFENCY.TOP

  3. 重启kerberos 并且设置开启自启

    systemctl  restart  krb5kdc
systemctl  restart kadmin
chkconfig krb5kdc on
chkconfig kadmin on
Kerberos客户端的安装
  1. 在hadoop2,hadoop3上安装客户端
    yum install -y krb5-libs krb5-workstation
  2. 将服务端/etc/krb5.conf的内容复制到客户端
  3. 测试登录admin (注意test/admin@SOFENCY.TOP是在服务端创建的)
    执行kinit test/admin@SOFENCY.TOP输入密码
    然后klist查看当前账户的信息
    在这里插入图片描述
sofency
关注
专栏目录
大数据安全】基于Kerberos大数据安全验证方案
Mantou的博客
11-03 578
1.背景 互联网从来就不是一个安全的地方。很多时候我们过分依赖防火墙来解决安全的问题,不幸的是,防火墙是假设“坏人”是来自外部的,而真正具有破坏性的攻击事件都是往往都是来自于内部的。 近几年,在thehackernews等网站上总会时不时看到可以看到一些因为数据安全问题被大面积攻击、勒索的事件。在Hadoop1.0.0之前,Hadoop并不提供对安全的支持,默认集群内所有角色都是可靠的。...
大数据安全组件-Kerberos认证+Ranger权限研究
gaozhenzhai的博客
06-19 1939
小结 总体来说,Kerberos是当前最有效最完善的统一身份认证框架,但是如果真的要全面实施,代价也很高,而从安全的角度来考虑,如果真的要防止恶意破坏的行为,在整个生产环境流程,能被突破的环节其实也很多,光上Kerberos并不意味着就解决了问题,所以各大互联网公司用还是不用Kerberos,大家并没有一致的做法,即使All in Kerberos的公司,我敢说,除非完全不做服务化的工作,否则,整体链路方面也一定存在很多并不那么Kerberos的环节;简单的说,就是你想怎么做就怎么做。
大数据安全验证之Kerberos | StartDT Tech Lab 11
StartDT的博客
08-05 550
Kerberos本质上是一种安全认证协议
大数据安全认证
BigData
10-19 1294
它同样是做细粒度的权限控制。但相比较于Sentry而言,它能支持更丰富的组件,包括于 HDFS, Hive, HBase, Yarn, Storm, Knox, Kafka, Solr and NiFi。Sentry首先是由Cloudera公司内部开发而来的,初衷是为了让用户能够细粒度的控制Hadoop系统数据(这里主要指HDFS,Hive的数据)。平台用户用户认证一般会采用kerberos,负责数据的权限管理一般采用大数据权限管理框架(sentry或是Ranger)。Kerberos认证
大数据Kerberos认证
m0_70949976的博客
05-15 5636
Kerberos 是一个网络身份验证协议,用于在计算机网络进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
(1)大数据管理:kerberos安全认证了解
张不帅
11-14 545
文章目录Kerberos是什么Kerberos的概念Kerberos认证原理 Kerberos是什么 Kerberos是一种计算机网络授权协议,用来在非安全网路,对个人通信以安全的手段进行身份验证,该词为麻省理工学院为这个协议开发的一套计算机软件,软件设计采用CS架构,并且能够进行互相认证,客户端和服务器都可对对方进行身份验证,可以用于防止窃听,防止重放攻击,保护数据完整性等场合,是一种应用对称...
大数据安全管理 -- Kerberos
eyoulc123的博客
12-11 3953
1. 前言前一段时间一直在做大数据集群下面的安全环境(Kerberos)的配置与分析,其有许多误解,这里记录下来。当然kerbeos本身也比较复杂,这里只从一个使用者的角度进行记录2. 安全基础 – Kerberos一提到Hadoop集群安全,我们就会想到Kerberos,对于kerberos解释,有很多。下面是我对于kerberos的一个理解2.1 什么是kerberos Kerberos
大数据安全-kerberos技术-zookeeper安装包
06-06
本资源包含的是大数据安全背景下的Kerberos与ZooKeeper的集成应用,特别是ZooKeeper的安装包,版本为`apache-zookeeper-3.6.3-bin.tar.gz`。 ZooKeeper是由Apache软件基金会开发的一个分布式协调服务,它为分布式...
大数据安全-kerberos技术-hadoop安装包,hadoop版本:hadoop-3.3.4.tar.gz
06-06
本资源提供的是Hadoop的大数据安全组件——Kerberos的集成安装包,具体版本为hadoop-3.3.4.tar.gz,这是一款针对Hadoop进行安全配置的重要工具。 Hadoop是一个开源的分布式计算框架,它允许在大规模集群上存储和...
大数据安全技术期末大作业题.docx
06-16
大数据安全技术期末大作业题涵盖了 Hadoop 集群环境的搭建、Kerberos 安全认证的部署、Hadoop 集群环境的安全性和大数据安全技术的应用等多个方面的知识点,旨在考察学生对大数据安全技术的理解和掌握程度。
大数据安全-kerberos技术-kafka安装包,kafka版本:kafka-2.12-3.3.1.tgz
06-07
通过对Kafka集群进行Kerberos认证,可以确保数据传输的安全性,防止未经授权的访问。了解并掌握这一技术对于任何处理敏感数据的企业都至关重要。在实际部署,还需要注意监控和日志管理,以确保系统的稳定性和安全...
大数据安全-kerberos技术-openssl安装包,openssl版本:openssl-1.1.1k.tar.gz
06-07
在IT行业大数据安全是至关重要的领域,而Kerberos技术是其的一种核心安全机制,主要用于验证网络服务的用户身份。Kerberos依赖于加密技术,而OpenSSL库则提供了强大的加密功能,使得数据传输更加安全。在这个...
大数据快速使用Kerberos认证集群
weixin_42795092的博客
06-10 950
使用上传工具(比如:WinScp)将mapreduce-examples-1.0.jar、input_data1.txt和input_data2.txt复制到test目录下,将“创建角色和用户的步骤。使用上传工具(比如:WinScp)将样FemaleInfoCollection.jar、input_data1.txt和input_data2.txt复制到test目录下,将“创建角色和用户的步骤。创建安全集群,开启“Kerberos认证“参数开关,并配置“密码“、“确认密码“参数。
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1641
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos 为网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型安全性和身份验证将取决于密钥技术,其网络上的每个主机都有自己的密钥。
数据认证技术概要
川流不息
01-04 1513
数据认证技术概要 (1)用户名/密码认证     用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,
5.1数据验证技术
liheao123456的博客
03-15 272
空网页 http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> http://www.w3.org/1999/xhtml" >     非空数据验证                                                                 用户信息    
软考总结--数据加密与认证技术
11-03 2157
现如今信息技术发展如此之快,信息安全就显得尤为重要。本次主要研究一下数据安全。   影响数据安全的因素:   (1)内部因素。可采用多种技术数据加密,并制定相应的数据安全机制,建立安全存储体系,包括容量、容错数据保护和数据备份等;建立事故应急计划和容灾措施;制定数据安全管理规范。   (2)外部因素。可将数据分成不同的密级,规定外部使用人员的权限;设置身份证、密码等多种认证。设置防火墙,建立
Hadoop 2.0用户安全伪装/模仿机制实现原理
03-26 1146
from http://dongxicheng.org/mapreduce-nextgen/hadoop-secure-impersonation/ 本文将从用户伪装(impersonate,翻译成“模仿”也许更好些)角度介绍Hadoop安全机制,用户伪装机制使得Hadoop支持类似于linux “sudo”的功能,即用户A以用户B的身份执行功能。该机制属于Hadoop安全机制的一部分,因此适用
基于C51单片机Proteu仿真实例及软件源码+文档说明 之-电子琴.zip
最新发布
09-19
基于C51单片机Proteu仿真实例及软件源码+文档说明 之-电子琴.zip
大数据安全:防范与应对策略
"大数据安全体系实践" 在当前数字化时代,大数据已成为企业的重要资产,但随之而来的是数据安全问题的日益突出。大数据安全体系实践旨在保护这些海量数据免受各种威胁,确保企业的信息安全和业务连续性。本实践主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值