Hadoop分布式文件系统(HDFS)的安全隐患

Hadoop分布式文件系统(HDFS)的安全隐患

一.基础问题
hadoop是什么? 如何配置等基础概念以下不做讨论.
请参考: http://www.infoq.com/cn/articles/hadoop-intro  或 Google进行相关搜索

二.环境
软件环境:hadoop-0.19.1
HDFS系统: 公网linux 2.4 若干台
Namenode: nn 1台
Datenode: dn 若干台
客户端: OSX 10.6

三.如何对Hadoop文件进行攻击要点(安全隐患)
1)
获得Hadoop NameNode URI, 例如 nn:9001
配置到客户端hadoop-site.xml中即可.
2)
客户端通过 FS shell进行文件操作,
次步骤可简单理解为客户端通过本地Hadoop中配置hadoop-site.xml namenode uri进行远程访问,获取HDFS文件列表,
3)
*如遇到验证失败,在本地创建用户名xxx用户,xxx本地用户名和提示验证用户名称一直即可.
*解释:HDFS启动时会以启动用户(root或hadoop)为HDFS Root用户, 所以客户端进行访问时本地新建此用户名和HDFS Root用户名称一致即可,HDFS并不进行验证密码.
*此时,就获得的HDFS 系统的HDFS Root权限, 可以为所欲为了.  :)
4)
Hadoop API 与 FS Shell 以上述同理

四.思考
虽然nn可以设置的比较隐秘,但是依然可以被扫描到,所以只靠隐秘nn方法对HDFS系统的安全保障是并不可取的.
虽然可以用网络划分或防火墙进行隔离,但是对于Hadoop框架设计而言,是有重大安全遗漏的.
我认为依然有许多HDFS系统目前正在公网运行中.