Kerberos-给CDH集群添加Kerberos认证

前言

  • 近期网络曝出通过Hadoop Yarn资源管理系统未授权访问漏洞从外网进行攻击内部服务器并植入挖矿木马的行为和自动化脚本的产生。此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。被攻击后的特征在Hadoop Yarn的管理页面可看到,是用dr.who创建了多个任务:

Cloudera Manager--Yarn用户资源隔离配置

  Yarn用户资源隔离配置,主要使用 Yarn动态资源池(dynamic resource pool) 对YARN应用程序进行资源和策略分配的池。(Impala资源也可以动态管理)
动态资源池允许安排和分配用户访问特定池,用来执行YARN应用程序。如果一个池的资源未被使用,它可以被占用(preempted)并分配给其他池。否则,就根据各个池的权重来共享资源。访问控制列表(Access control lists (ACLs)) 对提交访问和管理访问进行限制。

  • 下面主要以下几个步骤来实际的操作:
    1. 资源隔离前:看看默认的组,以及为什么我们要去从新划分
    2. 规划用户组:举例本例中分配的组,以及我们线上环境一般怎么分配的
    3. HDFS和Yarn设置:需要修改的一些配置
    4. 资源池设置:主要是资源池设置以及配置相应的规则
    5. 示例展示:截图说明一下修改后的一些运行效果

当前网速较慢或者你使用的浏览器不支持博客特定功能,请尝试刷新或换用Chrome、Firefox等现代浏览器