Yarn权限

一、yarn漏洞

1、黑客注入脚本，以hadoop-yarn用户疯狂提交

2、署名用户为yarn的进程疯狂占用CPU，整个集群CPU跑慢

处理：
1、先收回\tmp目录的执行权限（为解燃眉之急，这一步是最快的，可以快速让环境恢复正常的）
2、对yarn提交任务进行最小权限控制，用户权限控制
3、运维安全管理，端口号管理（8088这个端口特别关照）
4、查看yarn用户的crontab,如下：

清理掉它
5、清理ssh里的可疑文件，和known hosts

二、yarn权限管理

yarn的权限管理分为三个部分，第一是如何区分管理员和普通用户；第二是服务级别的权限，比如那些用户向集群提交ResourceManager提交应用管理；第三是队列级别的权限，比如那些用户可以向队列A提交作业

2.1 管理员用户与组和普通用户与组区别

1）启动ACL管理，CDH配置如图：

2）yarn.admin.acl参数去指定管理员，作用是指定谁可以执行yarn rmadmin/yarn kill等命令,CDH配置如图：

2.2 控制服务级别的权限

如何配置：
user1,user2 group1,group2 #user和group用空格隔开
 group1,group2 #只有group情况下，必须在最前面加上空格

2.3 队列级别的权限

1）对应配置
yarn.scheduler.capacity.${queue-name}.acl_submit_applications，设置能够向该队列提交的user/group，其中 ${queue-name} 为队列的名称，可以是多级队列，注意多级情况下的ACL继承机制

#queue-name=root
  
     yarn.scheduler.capacity.root.acl_submit_applications
        #空格表示任何人都无法往root队列提交作业
  
 #queue-name=root.testqueue
yarn.scheduler.capacity.root.testqueue.acl_submit_applications
	test testgrp #testqueue只允许test用户/testgrp组提交作业

yarn.scheduler.capacity.${queue-name}.acl_administer_queue，设置能够管理队列的user/group(如执行kill等操作),其中 ${queue-name} 为队列的名称，可以是多级队列，注意多级情况下的ACL继承机制

#queue-name=root

    yarn.scheduler.capacity.root.acl_administer_queue
     

#queue-name=root.testqueue

	yarn.scheduler.capacity.root.testqueue.acl_administer_queue
	test testgrp

2）CDH中的配置