HDFS权限

于 2021-04-14 22:32:51 发布
阅读量761 收藏 2
点赞数 1
分类专栏: hdfs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43214644/article/details/115711447
版权

HDFS的权限管理是被用户最常问到的问题之一,HDFS实现了一个和POSIX系统相似的文件和目录的权限模型,同时还支持POSIX ACLs规范,因为POSIX ACLs自己就比较复杂,还改变了一些传统POSIX权限体系的语义,所以大部分用户在使用过程当中都会遇到如下一些困惑,例如:umask是干什么用的?ACLs里的mask做用是什么?为何我明明给用户A添加了rwx权限的ACLs,A却仍然写失败?什么权限会继承?什么权限不会继承?为何建立的这个目录继承的权限跟预期的不一致?node

权限控制通常分为两部分,鉴权(Authentication)和受权(Authorization)。鉴权用于鉴定用户身份(例如鉴定你是不是用户foo),受权用于授予给定用户指定的权限(例如将文件f授予用户bar读写权限)。本文只讨论HDFS的受权体系的工做机制,对于经常使用的权限管理命令先不作介绍,欢迎关注后续文章了解。apache

HDFS权限管理概述
HDFS实现了一个和POSIX系统相似的文件和目录的权限模型。每一个文件和目录有一个全部者(owner)和一个组(group)。文件或目录对其全部者、同组的其余用户以及全部其余用户(other)分别有着不一样的权限。对文件而言,当读取这个文件时须要有r权限,当写入或者追加到文件时须要有w权限。对目录而言,当列出目录内容时须要具备r权限,当新建或删除子文件或子目录时须要有w权限,当访问目录的子节点时须要有x权限。总的来讲,文件或目录的权限就是它的模式(mode)。HDFS采用了Unix表示和显示模式的习惯,包括使用八进制数来表示权限。当新建一个文件或目录,它的全部者即客户进程的用户,它的所属组是父目录的组(BSD的规定)。安全

HDFS还提供了对POSIX ACLs(Access Control Lists)的支持,经过NameNode的配置项来控制对ACLs的支持是打开仍是关闭。ACLs使得用户能够在权限模型以外提供更加灵活的受权。因为传统的POSIX权限模型对于大部分类Unix系统用户来讲都比较熟悉了,所以ACLs将是本文档的重点。ide

下文会解决HDFS实现的传统POSIX权限模型中最多见的疑问,而后系统的介绍ACLs,最后给出详细的例子和场景来讲明ACLs是如何工做的。oop

传统的POSIX权限模型
HDFS实现的是相似于POSIX系统的权限模型,如前所述,使用过Linux/Unix系统的用户对该模型应该都很是熟悉,就再也不赘述。这里先对下文中最常被问到的问题作一些说明:ui

一、访问某个路径时,用户必须具有该路径上每一个目录的执行(x)权限,路径中最后一个目录/文件除外。例如 ls /user/foo/data操做要求用户必须具备根目录(/),user目录,foo目录的执行权限。3d

二、建立一个文件或者目录时,owner是客户进程的用户,group则继承父目录xml

三、新建文件或目录的模式(mode)由client在rpc调用时传递给NameNode,它受配置参数umask的约束。新文件的模式是666 & ^umask,新目录的模式是777 & ^umask,即文件默认是没有执行(x)权限的。若是在 create(path, permission, …) 方法中指定了权限参数P,新文件的模式是P & ^umask & 666,若是在mkdirs(path, permission ) 方法中指定了权限参数P,新目录的模式是P & ^umask & 777。htm

例1:若是umask是022(默认值),那么新文件的模式就是644,新目录的模式就是755,即umask擦除掉了group和other的写权限。

例2:若是umask是027,那么新文件的模式就是650,新目录的模式就是750,即umask擦除掉了group的写权限,以及other的读写执行权限。

四、umask经过client端hdfs-site.xml中的fs.permissions.umask-mode配置项来指定,默认是022。

五、只有超级用户才能够调用chown来修改目录和文件的owner。

ACLs概念介绍
HDFS在传统的POSIX权限模型以外,还支持POSIX ACLs (Access Control Lists)。经过ACLs能够作到更加灵活的受权。

默认状况下对ACLs的支持是关闭的,能够经过设置dfs.namenode.acls.enabled为true来打开。

ACL条目
一个ACLs由一系列条目(entry)组成,下表列出了条目的类型及格式,共有六种类型的ACL条目。
在这里插入图片描述

最小ACLs和扩展ACLs
若是ACLs与文件/目录模式权限位(file mode permission bits)彻底对应,则称为最小ACLs(minimal ACLs),它们有3个ACL条目(即上面的owner、owning group和others三种类型的条目,因为与传统的POSIX权限模型彻底对应,所以不须要指定用户名,称为无名条目)。

拥有超过3个条目的ACLs称为扩展ACLs(extended ACLs),扩展ACLs会包含一个mask条目以及给其余指定用户和组受权的条目,即有名ACL条目(named entry),与最小ACLs中无名条目相对应。
在这里插入图片描述

有名ACL条目即上表中named user和named group两种类型。这两类ACLs以下图所示:

在这里插入图片描述

ACLs对模式位中组类(group class)权限的影响
在POSIX ACLs规范中,有名条目属于组类(group class)的权限,组类权限还包含owning group条目。因为文件模式权限位中的组类权限可能比某些有名条目的权限小(例如组类权限位是r-x,可是用户foo的ACL条目是user:foo:rwx),这就与POSIX.1中规范的传统权限模型有所冲突,所以ACLs规范POSIX 1003.1e对组类权限进行了重定义:在新的语义下,它表示全部属于组类权限的ACL条目的权限上界。这样作得以保证只遵照POSIX.1规范的应用程序在不知晓ACLs的状况下不会在组权限上遇到问题。

在最小ACLs中,组类权限和owning group条目权限是彻底相同的(参考上图的例子),在扩展ACLs组类权限中可能有某些有名条目的权限比owning group条目高,因此owning group条目的权限和组类权限会不同(参考上图中的例子,owning group权限是r—,组类权限是rw-)。这个问题经过引入mask获得了解决,在最小ACLs中,组类权限对应到owning group条目,在扩展ACLs中,组类权限对应到mask条目的权限。mask的做用以下图所示:
在这里插入图片描述

对于最小ACLs来讲,文件模式权限中的owner、group和other分别映射到ACLs owner、owning group和others条目,对于扩展ACLs则是分别映射到ACLs owner、mask和others条目。当应用程序修改文件模式权限位(例如使用chmod命令)时,对应的ACL条目也会随之改变。一样的,修改这些ACL条目也会改变文件的模式权限(mode)。

注意,ACLs owner和others条目不属于组类权限,因此他们不会被mask。

默认ACLs
前面讨论的ACL条目定义了文件/目录当前的访问权限,称为访问ACLs(access ACLs),另外一种类型叫作默认ACLs(default ACL),它定义了当一个文件系统对象被建立时如何从父目录继承权限。只有目录能够被设置默认ACLs,默认ACLs不会用于权限检查,仅用于权限继承。

建立一个新的目录时,若是父目录设置了默认ACLs,则新目录会继承父目录的默认ACLs做为本身的访问ACLs,同时也做为本身的默认ACLs。新的文件则只会继承父目录的默认ACLs做为本身的访问ACLs。

从父目录默认ACLs继承来的权限并不是最终的权限,因为在建立新的目录/文件时client必定会传给NameNode一个文件模式权限(见“传统的POSIX权限模型”一节说明3),二者的计算结果才是最终的权限。计算方式采用与运算,即取继承的ACLs中某类权限与模式权限中对应类别权限的交集。下面是一个例子:
在这里插入图片描述

ACLs的示例
下面给展现几个ACLs的示例,方便你们理解。

先看一个最小ACLs的例子,目录/user/foo:

在这里插入图片描述

修改/user/foo的模式权限位为755,则对应的ACL条目也跟着发生了变化。
在这里插入图片描述

给/user/foo目录添加一条ACLs,此时/user/foo的ACLs就变成了扩展ACLs。咱们能够观察到在新增了bar的ACL条目以外,同时还新增了一个mask条目。该mask条目是自动添加的,取值是全部组类型条目的并集。同时扩展ACLs的模式权限位中组类权限也改成映射到了mask条目,所以使用ls命令查看/user/foo的模式权限位,又变成了775。

注意,此时以组用户的身份访问/user/foo目录,仍然只有r-x权限,而不是ls看到的rwx权限了。

在这里插入图片描述

再次修改/user/foo的模式权限位从组类权限中去掉w权限,mask条目也跟着发生了变化。同时用户bar的权限也受mask限制变成了r-x,即getfacl结果中显示的effective:r-x。
在这里插入图片描述

给/user/foo添加一条默认ACL条目。虽然只给用户joe添加了一条默认ACL条目,可是对于一个完整的ACLs来讲所需的其余条目都已经被自动从访问ACLs中复制了过来。

在这里插入图片描述

如今建立一个/user/foo的子目录subdir。为了更直观的观察到继承的ACLs权限和client传过来的permission是如何共同做用的,咱们先把default ACLs中的other条目给修改为只有读权限。

能够看到/user/foo的default ACLs都已经被subdir继承了,可是有两点须要注意:

(1)因为umask设置的是022,因此新建目录的权限应该是755,但实际是754。这是由于继承的ACLs other条目权限和client传递过来的permission权限中的other类别权限作了与运算,最终other的权限是r–

(2)同时继承的mask是rwx,可是和client传递过来的permission权限中的组类权限(r-x)作过与操做以后就变成了r-x
在这里插入图片描述

在/user/foo目录下建立一个文件,会继承默认ACLs中的权限,但文件自己再也不有默认ACLs。

在这里插入图片描述

1.1 超级用户
启动namenode服务的用户就是超级用户, 该用户的组是supergroupnode

1.2 文件权限管理

1.2.1 建立时的owner和group
文件或者目录被建立之时,服从BSD规则,owner是客户端进程的用户,group是父目录的grouplinux

1.2.2 访问权限说明
object r w x stick bit(restricted deletion flag)
file 读文件 写或者追加写文件 无效
directory 列出目录的内容 建立或者删除子文件或子目录 访问子文件或者子目录 阻止移动或者删除该目录内的文件或目录(超级用户,owner和group不会被stick bit阻止)

1.2.3 应用示例

建立/input目录,用于接收外部写入的数据
input目录的group也是input,owner是lisa(超级用户),
建立/input/dean目录,用于接收dean用户写入的数据, owner是dean用户,group用户容许写入数据
建立目录
$ hdfs dfs -mkdir -p /input/dean
$ hdfs dfs -ls /
Found 3 items
drwxr-xr-x - lisa supergroup 0 2015-11-08 17:26 /input
drwxr-xr-x - lisa supergroup 0 2015-09-28 15:21 /test
drwxr-xr-x - lisa supergroup 0 2015-11-08 17:09 /tmp
$ hdfs dfs -ls /input
Found 1 items
drwxr-xr-x - lisa supergroup 0 2015-11-08 17:26 /input/dean

修改input目录的owner为lisa,group从supergroup改成input
$ hdfs dfs -chown lisa:input /input
$ hdfs dfs -ls /
Found 3 items
drwxr-xr-x - lisa input 0 2015-11-08 17:26 /input
drwxr-xr-x - lisa supergroup 0 2015-09-28 15:21 /test
drwxr-xr-x - lisa supergroup 0 2015-11-08 17:09 /tmp

修改/input/dean目录的ower和group都为dean
$ hdfs dfs -ls /input
Found 1 item
drwxrwxr-x - dean dean 0 2015-11-21 16:24 /input/dean

注意,客户机上建立linux 用户dean,无需在namenode节点上建立该用户服务器

容许input group用户写入/input/qoros目录
先要设置目录权限,让input组用户都能读,写,执行该目录
$ hdfs dfs -chmod -R g+w /input/qoros

而后在客户机上
建立guoqiang账号和组input
useradd guoqiang
groupadd input

改guoqiang用户组为input
usermod -g input guoqiang

在namenode所在的服务器上添加相同的用户和组,这点很奇怪,若是不这么干写操做会被拒绝,这会形成麻烦,由于两个namenode节点都要这么干ide

useradd guoqiang
usermod -g input guoqiang

取消其余用户的全部权限
$ hdfs dfs -chmod -R o-r /input/dean
$ hdfs dfs -ls /input
Found 1 items
drwxrwx–x - lisa supergroup 0 2015-11-08 17:26 /input/dean
$ hdfs dfs -chmod -R o-x /input/dean
$ hdfs dfs -ls /input
Found 1 items
drwxrwx— - lisa supergroup 0 2015-11-08 17:26 /input/dean
1.3 POSIX ACLs(目前还没有使用)
为特定的用户和组提供细致粒度的权限管理, 而不仅是owner,group。该功能默认关闭, 须要以下设置打开spa

dfs.namenode.acls.enabled true

具体配置实在hdfs-site.xml中.net

dfs.permissions.enabled true dfs.namenode.acls.enabled true

在core-site.xml设置用户组默认权限.rest

fs.permissions.umask-mode 002
格格巫 MMQ!!
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
博客
深度分析Linux下双网卡绑定七种模式 多网卡的7种bond模式原理
07-01 4874
多网卡的7种bond模式原理Linux网卡绑定mode共有七种(0~6) bond0、bond1、bond2、bond3、bond4、bond5、bond6常用的有三种mode=0:平衡负载模式,有自动备援,但需要”Switch”支援及设定。mode=1:自动备援模式,其中一条线若断线,其他线路将会自动备援。mode=6:平衡负载模式,有自动备援,不必”Switch”支援及设定。需要说明的是如果想做成mode 0的负载均衡,仅仅设置这里options bond0 miimon=100 mode.
博客
5G技术优势
03-18 3万+
1G实现了移动通话,2G实现了短信、数字语音和手机上网,3G带来了基于图片的移动互联网,而4G则推动了移动视频的发展。5G网络则视为未来物联网、车联网等万物互联的基础。同时,5G普及将使得包括虚拟现实和增强现实这些技术成为主流。4G网络是专为手机打造的,没有为物联网进行优化。5G技术为物联网提供了超大带宽。与4G相比,5G网络可以支持10倍以上的设备。可以应用于自动驾驶、超高清视频、虚拟现实、万物互联的智能传感器。  5G网络主要有三大特点,极高的速率,极大的容量,极低的时延。相对4G网络,传输速率提升1
博客
允许Traceroute探测漏洞解决方法
03-29 1159
允许Traceroute探测漏洞解决方法详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。1、关闭Traceroute探测的方法2、重新载入防火墙配置3、查看防火墙规则。
博客
ftp连接命令linux的简单介绍
10-18 3843
oPort=远程端口号sftp get /var/www/fuyatao/index.php /home/fuyatao/。这条语句将从远程主机的 /var/www/fuyatao/目录下将 index.php。这条语句将把本地 /home/fuyatao/downloads/目录下的 linuxgl.pdf文件上传至远程主机/var/www/fuyatao/ 目录下。ls -l 普通文件就是以 - 开头,文件夹以 d 开头,grep 后面接正则表达式:^- 以 - 开头的匹配。
博客
yarn启动后用jps查看没有resourcemanager
10-15 785
1.1.添加:如下:再次启动yarn就有了,如下:2.
博客
Linux技巧:修复硬盘坏道
10-07 2631
Last cylinder or +size or +sizeM or +sizeK (51-125, default 125): +200M 注:这个是定义分区大小的,+200M 就是大小为200M;警告:删除分区时要小心,请看好分区的序号,如果您删除了扩展分区,扩展分区之下的逻辑分区都会删除;Last cylinder or +size or +sizeM or +sizeK (1-125, default 125): +200M 注:指定分区大小,用+200M来指定大小为200M。
博客
SDN介绍
09-14 872
想当年,集群技术多火,STP和VRRP技术多经典,还不是慢慢被淘汰,成为了历史,只要不适应业务发展的需要,再好的技术都可能被淘汰。三是小型的数据中心网络,一旦部署后完成后,扩容和变更机会是比较少的,人工操作并不复杂,引入SDN属于大材小用,给数据中心带来的真正实惠不对,即便是那些大型的数据中心网络,扩容几台网络设备,一个熟练的网络工程师也可以很快完成,并不比SDN的方式慢多少,SDN虽是自动化部署,但出了问题排查起来也难度不小,Underlay和Overlay网络层面都要排查,网络问题复杂度增加了。
博客
running beyond physical memory limits. Current usage: 2.0 GB of 2 GB physical memory used; 2.6 GB of
09-14 441
因为默认值都是:1024M,也就是一个G,如果不够就会溢出!在运行hive sql前加上 : (map)或者 (reduce)
博客
Sftp登录时报received message too long 1416128883如何解决?Ensure the remote shell produces no output for non-
06-13 2650
但是,实际上文件系统也可能仅仅是一种访问数据的界面而已,实际的数据是通过网络协议(如NFS、SMB、9P等)提供的或者内存上,甚至可能根本没有对应的文件(如proc文件系统)。用户使用文件系统来保存数据,只需要记住这个文件的所属目录和文件名。在写入新数据之前,用户不必关心硬盘上的那个块地址没有被使用,硬盘上的存储空间管理(分配和释放)功能由文件系统自动完成,用户只需要记住数据被写入到了哪个文件中。在计算机领域,SSH文件传输协议,即SFTP,它是一数据流连接,提供文件访问、传输和管理功能的网络传输协议。
博客
ftp工具无法连接到Linux服务器
06-13 1499
ftp工具无法连接Linux服务器,文件无法上传,是因为你的ftp服务器未搭建(或未启动)但是ftp工具的21端口无法连上远程主机,文件无法上传。许久没有登录腾讯云,今天想用xshell的xftp工具上传文件,却突然出现连接不上。问题出在Linux虚拟云主机上面的 21 端口的 ftp 功能没有启动。执行下面的命令,将 vsftpd 设置为开机启动。ftp工具可以正常连上Linux服务器了,文件可以上传了。3.执行以下命令,确认服务是否启动。执行以下命令,安装 vsftpd。执行以下命令,启动服务。
博客
Linux新用户登录时出现“-bash-4.2$”的解决办法
06-13 2878
Linux服务器新建的用户在登录时显示“-bash-4.2$”,而不是“user@hostname”的显示方式,出现此问题的原因是在添加普通用户时,用户家目录下丢失了.bash_profile和.bashrc两个环境变量文件。之后退出终端重新登录即可。
博客
liunx卸载磁盘后重新挂载
05-15 589
root@localhost]# parted /dev/sdb 使用parted来对GPT磁盘操作,进入交互式模式。[root@localhost]# mkfs.xfs -f /dev/sdb1 格式化分区xfs格式。[root@localhost]# mkdir /data1 在根目录下新建挂载硬盘所需文件夹。[root@localhost]# vi /etc/fstab 在fstab表末添加下列参数。[root@localhost]# df -Th 查看分区挂载情况。
博客
5G NR 网络切片是什么意思
03-28 1733
b) CSC-A可以使用从CSP-A获得的网络切片来支持自己的通信服务,或者可以向获得的NSaaS添加额外的网络功能,并将得到的组合作为一个新的网络切片提供给CSP-b。网络切片可以理解为支持特定使用场景或商业模式的通信服务要求的一组逻辑网络功能的集合,是基于物理基础设施对服务的实现,这些逻辑网络功能可以看作是由EPC下的网络功能(NetworkFuncTIon)分解而来的一系列子功能(Networksub-FuncTIon)。与向终端用户提供的通信服务不同,在NSaaS中,所提供的服务是实际的网络切片。
博客
json文件怎么写注释
03-23 3975
4、我们可以使用重复定义的方法来添加注释。json文件解析后,是使用最后定义的值的。2、一个json文件,其实就是一个js脚本文件,我们可以使用//的单行注释符。5、如果不使用重复值,我们也可以专门使用//的键来作为注释键。1、 使用编辑器打开json文件,现在是没有注释内容的。3、也可以使用/* */符号来支持多行注释。6、添加完注释后,把文件保存就行了。(如果没有的话需要下载安装)
博客
xml文件的注释展示
03-23 1289
即能够在HTML文件之外将数据存储在XML文档中,这样可以使开发者集中精力使用HTML做好数据的显示和布局,并确保数据改动时不会导致HTML文件也需要改动,从而方便维护页面。XML也能够将数据以“数据岛”的形式存储在HTML页面中,开发者依然可以把精力集中到使用HTML格式化和显示数据上。基于XML可以在不兼容的系统之间交换数据,计算机系统和数据库系统所存储的数据有多种形式,对于开发者来说,最耗时间的工作就是在遍布网络的系统之间交换数据。xml文件的注释格式: ,注释不能嵌套定义。
博客
欧拉操作系统和linux区别
03-17 3537
linux 有自己的API。windows也有自己的API例如:linux下打开文件的函数是open(),而windows下却是fopen(),这并不能代表C语言有什么区别,只是说平台不同定义的API函数不同。而Linux发行套件系统才是咱们常说的Linux操作系统,也即是由Linux内核与各种常用软件的集合产品,全球大约有数百款的Linux系统版本,比较有名的有RedHat、CentOS、Ubuntu等。一般来说,我们平时说Linux指的是Linux系统内核,而centos是Linux发行套件系统。
博客
EasyConnect虚拟IP地址未分配
03-08 3336
工作中遇到EasyConnect虚拟IP地址未分配,导致无法正常连接服务器进行调测工作。
博客
MySQL修改密码的3种方式以及启动方式
02-10 2032
注意:下图修改密码的命令中 -uroot 和 -proot 是整体,不要写成 -u root -p root,-u 和 root 间可以加空格,但是会有警告出现,所以就不要加空格了。使用 mysqladmin 命令修改 MySQL 的 root 用户密码格式为 mysqladmin -u用户名 -p旧密码 password 新密码。在使用数据库时,我们也许会遇到 MySQL 需要修改密码的情况,比如密码太简单需要修改等。,其中 username 为要修改密码的用户名,newpwd 为要修改的新密码。
博客
Lftp for linux 编译安装
02-09 1713
默认命令安装路径/软件路径/lftp-4.9.2/src/lftp (可在 ./configure --prefix=“xxxxxxx” 自定义)make[2]: 离开目录“/root/lftp-4.9.2/contrib”make[2]: 进入目录“/root/lftp-4.9.2/tests”make[2]: 离开目录“/root/lftp-4.9.2/tests”make[2]: 离开目录“/root/lftp-4.9.2/src”make[2]: 离开目录“/root/lftp-4.9.2/po”
博客
com.jcraft.jsch.JSchException: Session.connect: java.io.IOException: End of IO Stream Read
02-09 3886
2)上网搜寻这个错误,发现国内遇到这个问题不多。国外stackoverflow网站上有贴出一样的报错,但是引用的jar版本不同,并且答案指出升级到jsch-0.1.54问题就不存在了。1)经过多次测试,排查问题。推测是环境ssh版本问题,由于客户环境不可见,无法获得sftp服务器ssh的版本。在sftp登录时,设置完ip,port,user和pwd之后。3)小心测试,解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值