標籤:log 任務 資料 可靠 修改 位置 pass 認證 無法
一,風險分為內部和外部
首先內部:
CDH大資料集群部署過程中會自動建立以服務命名的使用者,
使用者名稱(login_name):口令位置(passwd):使用者標識號(UID):使用者組標識號(GID):注釋性描述(users):主目錄(home_directory):登陸shell(Shell)
cat /etc/shadow
shadow檔案中第二列的格式,它是加密後的密碼。該列為"!!",即":!!:",表示該使用者從來沒設定過密碼。
如此,導致存在惡意使用者偽裝成真正的使用者或者伺服器入侵到hadoop叢集上,惡意的提交作業,修改JobTracker狀態,篡改HDFS上的資料,偽裝成NameNode 或者TaskTracker接受任務等。
解決辦法:
加入了Kerberos認證機制。使得叢集中的節點就是它們所宣稱的,是信賴的。Kerberos可以將認證的密鑰在叢集部署時事先放到可靠的節點上。叢集運行時,叢集內的節點使用密鑰得到認證。只有被認證過節點才能正常使用。企圖冒充的節點由於沒有事先得到的密鑰資訊,無法與叢集內部的節點通訊。防止了惡意的使用或篡改Hadoop叢集的問題,確保了Hadoop叢集的可靠安全。
CDH大資料集群安全風險匯總
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
