Yarn权限

一、yarn漏洞

1、黑客注入脚本,以hadoop-yarn用户疯狂提交
图片: https://uploader.shimo.im/f/pex3Enl5B3JouB1u.png
2、署名用户为yarn的进程疯狂占用CPU,整个集群CPU跑慢

处理:
1、先收回\tmp目录的执行权限(为解燃眉之急,这一步是最快的,可以快速让环境恢复正常的)
2、对yarn提交任务进行最小权限控制,用户权限控制
3、运维安全管理,端口号管理(8088这个端口特别关照)
4、查看yarn用户的crontab,如下:
图片: https://uploader.shimo.im/f/4TjkkEclmSQ6Wqij.png
清理掉它
5、清理ssh里的可疑文件,和known hosts

二、yarn权限管理

yarn的权限管理分为三个部分,第一是如何区分管理员和普通用户;第二是服务级别的权限,比如那些用户向集群提交ResourceManager提交应用管理;第三是队列级别的权限,比如那些用户可以向队列A提交作业

2.1 管理员用户与组和普通用户与组区别

1)启动ACL管理,CDH配置如图:
在这里插入图片描述

2)yarn.admin.acl参数去指定管理员,作用是指定谁可以执行yarn rmadmin/yarn kill等命令,CDH配置如图:
图片: https://uploader.shimo.im/f/GfKpbKKy3OhO8gwf.png

2.2 控制服务级别的权限

如何配置:
user1,user2 group1,group2 #user和group用空格隔开
 group1,group2 #只有group情况下,必须在最前面加上空格

在这里插入图片描述

2.3 队列级别的权限

1)对应配置
yarn.scheduler.capacity.${queue-name}.acl_submit_applications,设置能够向该队列提交的user/group,其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root
  <property>
     <name>yarn.scheduler.capacity.root.acl_submit_applications</name>
      <value> </value> #空格表示任何人都无法往root队列提交作业
  </property>
 #queue-name=root.testqueue
<property
	<name>yarn.scheduler.capacity.root.testqueue.acl_submit_applications</name>
	<value>test testgrp</value> #testqueue只允许test用户/testgrp组提交作业
</property>

yarn.scheduler.capacity.${queue-name}.acl_administer_queue,设置能够管理队列的user/group(如执行kill等操作),其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root
<property>
    <name>yarn.scheduler.capacity.root.acl_administer_queue</name>
    <value> </value>
</property>
#queue-name=root.testqueue
<property>
	<name>yarn.scheduler.capacity.root.testqueue.acl_administer_queue</name>
	<value>test testgrp</value>
</property>

2)CDH中的配置

图片: https://uploader.shimo.im/f/MUaeXqhEFlg3sl7o.png

已标记关键词 清除标记
表情包
插入表情
评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符 “速评一下”
©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页