CDH6.3.2防止被攻击,打补丁(未授权漏洞)

已于 2022-12-13 22:48:33 修改
阅读量989 收藏 4
点赞数 1
分类专栏: 架构 文章标签: 安全 hadoop hdfs
于 2022-12-13 22:45:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45681127/article/details/128309082
版权

参考:CDH6.3.2Hadoop默认配置下存在未授权漏洞,禁止匿名访问 - 民宿 - 博客园

这段时间公司的运维大佬扫描安全漏洞的时候,发现有漏洞会被攻击,原因是没有新增用户校验,允许匿名去访问。这样的话。可以操作HDFS和Yarn上任何的资源和数据。

所以对集群进行打补丁。

访问HDFS和Yarn加一个身份认证。

1、在NameNode节点和RM节点新增一个秘钥文件。

 把用户后缀写进去

2、在CDH里配置core-site.xml

参考链接里有说用 下面的,发现不下发配置文件

 

所以使用以下这个。

3、为HDFS增加身份验证

我尝试直接更改这个节点的

/etc/hadoop/core-site.xml文件

/etc/hadoop/conf.cloudera.hdfs/core-site.xml文件

/etc/hadoop/conf.cloudera.yarn/core-site.xml文件

然后重启NameNode,发现并没有生效,只有通过CDH页面进行更改了。

HDFS配置
<property>
<name>hadoop.http.filter.initializers</name>
<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
</property>

<property>
<name>hadoop.http.authentication.type</name>
<value>simple</value>
</property>

<property>
<name>hadoop.http.authentication.signature.secret.file</name>
<value>/目录位置/hadoop_http_secret</value>
</description>
</property>

<property>
<name>hadoop.http.authentication.simple.anonymous.allowed</name>
<value>false</value>
</property>

<property>
<name>hadoop.http.authentication.token.max-inactive-interval</name>
<value>60</value>
</property>

确定配置不要全局下发,部署客户端配置,全局下发发现很多其他服务(impala)无法使用。

 直接重启Namenode,即可下发配置

4、为Yarn增加身份验证

yarn配置。
<property>
<name>hadoop.http.filter.initializers</name>
<value>org.apache.hadoop.security.AuthenticationFilterInitializer</value>
</property>

<property>
<name>hadoop.http.authentication.type</name>
<value>simple</value>
</property>

<property>
<name>hadoop.http.authentication.signature.secret.file</name>
<value>/opt/yarn_http_secret</value>
</property>

<property>
<name>hadoop.http.authentication.simple.anonymous.allowed</name>
<value>false</value>
</property>

<property>
<name>hadoop.http.authentication.token.max-inactive-interval</name>
<value>60</value>
</property>

和Namenode一样,确定配置不要全局下发,部署客户端配置,全局下发发现很多其他服务(impala)无法使用。

之后就可以访问了,请看效果

打个比方

我的hadoop秘钥是ABC

Yarn秘钥写的是DEF

那么这么访问

HDFS: http://master01:9550/?user.name=ABC

Yarn: http://master01:8088/cluster?user.name=DEF

HDFS:

会出现的问题

因为增加了验证,所以CM服务和监控,去看web的时候,会无法通信。

黑眼圈@~@
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CDH6.3.2 hue oozie bug 修复
wflh323的专栏
11-05 383
升级到CDH6.3.2 发现hue中使用oozie有些问题,在运行页面无法直接点击查看日志。定位问题后,从github hue 源码中找到最新的代码,对比一下发现了差异。按照最新代码修改,重启后异常修复。 修复方法: hue/apps/oozie/src/oozie/templates/dashboard/list_oozie_workflow_graph.mako 第90行修改为: var actionName = actionId.toLowerCase().substr(actionId.l.
CM(CDH)的安装过程破解(含卸载)--自己可以随意怎么安装都行了
出发
10-07 5772
【以下是基于CM 5.8的分析】把cloudera-manager-installer.bin文件改名为:cloudera-manager-installer.zip 解压:unzip cloudera-manager-installer.zip(注意,不要在windows上这么干,解压出来的是一个乱码文件,至于为啥,懒的研究了。)看解压后的文件,可以知道它是用lua写的。打开config.lua
CDH6.x解决log4j2漏洞问题
orianne的博客
12-29 2970
背景 2021年11月,阿里向Apache官方报告了Apache Log4j2远程代码执行漏洞,某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。对于我们自己管理的springboot项目,可以通过升级log4j2的版本来解决。但是对于离线CHD集群,升级就很难实现。官方给出的缓解措施是删除相关jar的class文件。 官方修复脚本的github地址 https://github.com/cloudera/cloudera-scripts-for-log4j 具体操作 ...
CDH 端口授权访问:hdfs-50070, yarn-8088, jetty漏洞修复
eyeofeagle的博客
10-05 5001
【代码】CDH 端口授权访问:hdfs-50070, yarn-8088, jetty漏洞修复。
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
u011250186的博客
08-10 561
CDH6.3.1集群修复Jackson-databind远程代码执行漏洞 CVE-2019-12384
hadoop cdh 的那些坑 第二弹
weixin_30782293的博客
07-22 246
卧槽 。。。。一直连不上datanode 不知道为什么数据节点一直连接不上。。 2019-07-19 16:10:00,156 INFO org.apache.hadoop.ipc.Client: Retrying connect to server: hadoop102/192.168.10.102:8485. Already tried 9 time(s); retry polic...
cdh6.3.2 集成 Phoenix
02-08
CDH 6.3.2中,Phoenix已经被预先配置好,可以无缝对接,提供高效的数据查询能力。 **二、Phoenix的基本概念** 1. **Phoenix架构**:Phoenix是建立在JDBC之上的,它将SQL查询转化为HBase的原生操作,通过优化器和...
cdh6.3.2安装包免费下载
最新发布
11-08
cdh6.3.2安装包,第二个文件,因为cdh的parcel包很大, 所以分成了三个。 里边的文件包含: CDH-6.3.2-1.cdh6.3.2.p0.1605554-el7.parcel,1.93GB CDH-6.3.2-1.cdh6.3.2.p0.1605554-el7.parcel.sha,40字节 CDH-...
适配CDH6.3.2的Spark3.2.2
08-16
Spark3.2.2是Apache Spark的一个重要版本,它提供了许多新特性和性能优化,而适配CDH6.3.2则意味着该版本的Spark已经经过了与Cloudera Data Hub (CDH) 6.3.2的兼容性验证。CDH是一个流行的Hadoop发行版,包含了...
Flink-1.16.2 CDH6.3.2
09-26
CDH6.3.2集成安装Flink-1.16.2,所需的包都在文件里面了,不用再自己打包了 参考部署教程: https://blog.csdn.net/qq_31454379/article/details/110440037 https://www.cnblogs.com/lshan/p/16469294.html
CDH7.1.5离线安装包下载
03-22
CDH7及以上版本已经更名为CDP 本资源打包了CDH7.1.5 搭建所需要的各种安装文件,包括: cm7.2.4-redhat7.tar.gz manifest.json cloudera-manager.repo RPM-GPG-KEY-cloudera CDH-7.1.5-1.cdh7.1.5.p0.7431829-el7.parcel CDH-7.1.5-1.cdh7.1.5.p0.7431829-el7.parcel.sha1 CDH-7.1.5-1.cdh7.1.5.p0.7431829-el7.parcel.sha256 安装教程可参考我的博客: https://blog.csdn.net/qq_32068809/article/details/113564729?spm=1001.2014.3001.5502 注意,CDP7不提供免费版(可以试用),如果没有购买CDP授权请谨慎下载本资源,CDH免费版本最高支持到6.3.2,大家可以前往这个链接下载:https://download.csdn.net/download/qq_32068809/15865504 任何问题可添加微信咨询:15854186970
CDH5.12离线搭建教程详解版
08-06
centos下cdh离线搭建详细过程,一些搭建过程中的小坑均有介绍
CDH6离线安装 -
04-01
CentOS7 下离线安装CDH6,绝对可用。 各种坑的解决,强烈建议收藏,因为CDH6CDH5离线安装区别很大,官方网文档太混乱,这个是非常清晰的概括总结
CDH安装说明(5.8 + Centos 6+/7+)
06-21
主要对CDH5.8在Centos 6.5 或7.2安装的说明及操作手册
hive2.1.1-cdh6.3.2
05-08
这个压缩包文件“hive2.1.1-cdh6.3.2”包含了与CDH6.3.2兼容的Hive JDBC驱动程序和其他相关组件,这对于远程连接和操作Hive数据库至关重要。 首先,我们来看看包含的四个文件: 1. **hive-jdbc-2.1.1-cdh6.3.2-...
hadoop CDH集群漏洞导致服务器被攻击
十色花的博客
08-19 3924
一、背景 5月5日腾讯云安全团队曾针对攻击者利用Hadoop Yarn资源管理系统REST API授权漏洞对服务器进行攻击攻击者可以在授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案。 二、漏洞说明 Hadoop是一个由Apache基金会所开发的分布式系统基础架...
那些在CDH5中是bug,到了CDH6版本就修复了的问题
ClouderaHadoop的博客
09-27 709
盘点那些在CDH5中是bug,到了CDH6版本就修复了的问题。涉及到HadoopHDFS、YARN、HBASE、hive、hue、impala、kudu、oozie、solr、spark、kafka、parquet、zookeeper等组件。如果你的集群问题是被列出的这些,那么升级是可以解决问题的。 列出的只是部分的一百多个问题,Cloudera今年年底会停止CDH5的支持,对于CDH5的用户来说,升级是大势所趋。 问题 问题描述 HADOOP-12267 s3a failure due to int
集群ddos_DDos攻击如何防御最高效还省钱
weixin_39995774的博客
12-15 292
众所周知,晴空网络(www.idcsky.cn)是主营高防BGP服务器的,我们的单机ddos防御从100G-1000G都有,满足各种客户需求,防御真实有效,但我们依旧不能欺骗客户说有打不死的服务器,因为攻击和防御是两个相辅相成的兄弟,在攻击中才会提高防御技术,防御技术提高后,黑客们也不是白干的啊,他们肯定也会提高攻击技术,所以所有的打不死服务器都是暂时的,或者攻击量不够。注意:网络攻击属于违法行为...
cdh6.3.2 下载
08-13
CDH 6.3.2 是何种高度集成的大数据平台,它基于 Apache Hadoop 架构并提供了一系列功能和工具来支持大规模数据存储、分析和处理。它是 Cloudera 公司开发和维护的一个集成解决方案。 在下载 CDH 6.3.2 之前,您需要访问 Cloudera 官方网站或者其他可信资源获取下载链接。在下载页面,您需要选择适合您操作系统的版本,如 CentOS、Ubuntu 等,并且确保选择的版本与您的操作系统版本兼容。 下载 CDH 6.3.2 之后,您可以按照安装指南来完成安装过程。在安装过程中,您需要按照提示一步一步进行安装,并根据需要自定义配置。 安装 CDH 6.3.2 之后,您可以使用其提供的各种工具和组件来处理大数据。CDH 6.3.2 提供了多个核心组件,如 HDFSHadoop 分布式文件系统)、YARN(资源调度和管理系统)、MapReduce(分布式计算框架)、HBase(分布式 NoSQL 数据库)、Hive(数据仓库基础设施)等。 总之,下载 CDH 6.3.2 是为了构建一个高度集成、易用且稳定的大数据平台。通过使用 CDH 6.3.2,您可以轻松管理和处理大规模数据,并开展各种数据分析、机器学习和深度学习等任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值