Yarn权限

一、yarn漏洞

1、黑客注入脚本,以hadoop-yarn用户疯狂提交
Yarn权限_第1张图片
2、署名用户为yarn的进程疯狂占用CPU,整个集群CPU跑慢

处理:
1、先收回\tmp目录的执行权限(为解燃眉之急,这一步是最快的,可以快速让环境恢复正常的)
2、对yarn提交任务进行最小权限控制,用户权限控制
3、运维安全管理,端口号管理(8088这个端口特别关照)
4、查看yarn用户的crontab,如下:
图片: https://uploader.shimo.im/f/4TjkkEclmSQ6Wqij.png
清理掉它
5、清理ssh里的可疑文件,和known hosts

二、yarn权限管理

yarn的权限管理分为三个部分,第一是如何区分管理员和普通用户;第二是服务级别的权限,比如那些用户向集群提交ResourceManager提交应用管理;第三是队列级别的权限,比如那些用户可以向队列A提交作业

2.1 管理员用户与组和普通用户与组区别

1)启动ACL管理,CDH配置如图:
Yarn权限_第2张图片

2)yarn.admin.acl参数去指定管理员,作用是指定谁可以执行yarn rmadmin/yarn kill等命令,CDH配置如图:
Yarn权限_第3张图片

2.2 控制服务级别的权限

如何配置:
user1,user2 group1,group2 #user和group用空格隔开
 group1,group2 #只有group情况下,必须在最前面加上空格

Yarn权限_第4张图片

2.3 队列级别的权限

1)对应配置
yarn.scheduler.capacity.${queue-name}.acl_submit_applications,设置能够向该队列提交的user/group,其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root
  
     yarn.scheduler.capacity.root.acl_submit_applications
        #空格表示任何人都无法往root队列提交作业
  
 #queue-name=root.testqueue
yarn.scheduler.capacity.root.testqueue.acl_submit_applications
	test testgrp #testqueue只允许test用户/testgrp组提交作业

yarn.scheduler.capacity.${queue-name}.acl_administer_queue,设置能够管理队列的user/group(如执行kill等操作),其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root

    yarn.scheduler.capacity.root.acl_administer_queue
     

#queue-name=root.testqueue

	yarn.scheduler.capacity.root.testqueue.acl_administer_queue
	test testgrp

2)CDH中的配置

Yarn权限_第5张图片

你可能感兴趣的:(大数据权限,Yarn,hadoop)