大数据平台Hadoop 的安全机制 
本章学习目标
. 了解Hadoop的安全机制
. 理解Hadoop组件的安全机制
. 分析Hadoop的安全性
. 掌握Hadoop的安全架构
Hadoop是常用的大数据处理平台,其安全性对于业务数据处理尤为重要。本章主
要向读者介绍Hadoop的安全机制、Hadoop组件的安全机制、安全技术工具、Hadoop的
安全性分析,并对其安全架构进行阐述。
3.1 安全威胁概述
Hadoop是Apache旗下基于Java语言实现的开源大数据计算处理框架,允许使用简
单的编程模型在计算机集群上对大型数据集进行分布式处理。正因为Hadoop在处理大
数据方面具有高效性、高容错性、高可扩展性和低成本等优势,当前许多企业或机关事业
单位等都采用Hadoop来存储和处理海量数据。Hadoop由于自身的业务特点,一般都部
署在用户内网中,所以在早期设计的时候不是太注重安全方面的设计,而更多的是专注于
实现业务的功能。下面是网上报道过的关于其安全漏洞的案例。
Apache的Ambari引用给Hadoop带来了很多便利,可以直接通过外部的管理对
Hadoop的生态组件进行管控,但在这个过程中由于外部技术的引用,导致一些外部应用
层的漏洞,主要是SSRF伪造请求漏洞。恶意攻击者通过SSRF攻击,远程对Hadoop服
务以及进程进行操纵和读取数据。
MapReduce信息漏洞主要是由于数据文件、用户产生的数据以及加密密钥都存储在
同一个文件和磁盘中,导致恶意用户获取到加密密钥,并读取了数据块中的数据。
Ambari重定向漏洞是由于target的URI参数被修改成了黑客指定的任意网址,由
此造成钓鱼攻击,甚至结合Linux底层的操作系统漏洞以及Hadoop的其他漏洞还能实
现恶意代码的加载。
2017年,Hadoop的一个新的漏洞被曝光,漏洞的主要原因在于Hadoop 引入了
Docker组件,但是在Linux这层没有输入过程的认证,并且Docker命令又是通过root身
3

65 
份来执行的。因此,黑客就通过Docker命令伪造了root身份,然后对Hadoop进行了全
线账户的提权,实现了整个操作系统的权限控制。
通过上述案例可以发现,这些安全漏洞的产生大部分都是由于Hadoop的身份认证
授权没有做好。早期Hadoop在默认情况下,是没有身份认证和访问控制机制的,基本上
是继承了Linux的权限控制体系。另外,它在数据传输过程中和静态数据保存过程中都
没有有效的加密措施。
3.2 Hadoop 安全机制
3.2.1 基本安全机制 
为了增强Hadoop 的安全机制,从2009 年起,Apache专门组织了一个团队,为
Hadoop增加基于Kerberos 和Delegation Token 的安全认证和授权机制。Apache 
Hadoop1.0.0和ClouderaCDH3之后的版本添加了安全机制。Hadoop提供了两种安全
机制:Simple机制和Kerberos机制。
1. Simple 机制
Simple机制是JAAS(Java Authenticationand Authorization Service)协议与
DelegationToken结合的一种机制,JAAS提供Java认证与授权服务。
(1)用户提交作业时,JobTracker端要进行身份核实,先是认证到底是不是这个人, 
即通过检查执行当前代码的人与JobConf中的user.name中的用户是否一致。
(2)然后检查ACL(AccessControlList)配置文件(由管理员配置)确认是否有提交
作业的权限。
一旦通过认证,会获取HDFS或者MapReduce授予的DelegationToken(访问不同
模块有不同的DelegationToken),之后的任何操作,比如访问文件,均要检查该Token是
否存在,以及使用者跟之前注册使用该Token的用户是否一致。
2. Kerberos 机制
Kerberos机制是基于认证服务器的一种方式。简单来说,大数据平台Hadoop中有
一个专门的认证服务器KDC,可以把它看作户籍派出所,它可事先给所有的平台用户发
放户籍证明,即keytab(密钥表)。之后某个用户要使用大数据平台,就要拿着这个证明
先去KDC认证,认证无误之后,才能够使用大数据平台服务。Kerberos机制工作原理示
意如图3.1所示。
在身份认证方面,在Hadoop集群内部,一般使用基于Kerberos的身份认证机制。
主要原因在于,该机制具有如下优势:①可靠,Hadoop本身并没有认证功能和创建用户
组功能,只是使用依靠外围的认证系统;②高效,Kerberos使用对称密码操作,比使用
SSL的公钥密码快;③操作简单,用户可以方便地进行操作,不需要很复杂的指令,比如
废除一个用户,只从Kerberos的KDC数据库中删除即可。

图3.ebrs机制工作原理示意

1 Kreo

2.总体安全机制
3.2 

Hadoop的安全机制如下所述。

(1)Hadoop的客户端通过Hadoop的RPC 库访问相应的服务,Hadoop在RPC 层
中添加了权限认证机制,所有RPC 都会使用SASL(SimpleAuthenticationandSecurityLayer)进行连接。其中,SASL 协商使用Kerberos或者DIGESTMD5 协议。

(2)HDFS 使用的认证可以分成两部分:第一部分是客户端与NameNode连接时的
认证;第二部分是客户端从DataNode获取Block时所需要的认证。第一部分使用
Kerberos协议认证和授权令牌(DelegationToken)认证,这个授权令牌可以作为接下来
访问HDFS 的凭证。第二部分则是客户端从NameNode获取一个认证令牌,只有使用这
个令牌,才能从相应的DataNode获取Block。

(3)在MapReduce中用户的每个Task均使用用户的身份运行,这样就防止了恶意
用户使用Task干扰TaskTracker或者其他用户的Task。
(4)HDFS 在启动时,NameNode首先进入一个安全模式,此时系统不会写入任何数
据。NameNode在安全模式下会检测数据块的最小副本数,当一定比例的数据块达到最
小副本数时(一般为3), 系统就会退出安全模式,否则补全副本,以达到一定的数据块

比例
(
。
5)当从HDFS 获得数据时,客户端会检测从DataNode收到的数据块,通过检测每
个数据块的校验和(Checksum)来认证这个数据块是否损坏。如果损坏,则从其他
DataNode获得这个数据块的副本,以保证数据的完整性和可用性。

(6)MapReduce和HDFS 都设计了心跳机制,Task和DataNode都定期向JobTracker 
和NameNode发送信条数据。当JobTracker不能接收到某个Task的心跳数据时,则认
为该Task已经失败,会在另一个节点上重启该任务,以保证整个MapReduce程序的运
行。同理,如果NameNode收不到某个DataNode的心跳消息,也认为该节点已经死掉, 
不会向该节点发送新的I/O任务,并复制那些丢失的数据块。

66 


67 
3.3 Hadoop 组件的安全机制
Hadoop安全性与其组件安全机制息息相关。本节进一步介绍Hadoop中RPC、
HDFS、MapReduce的安全机制。
3.3.1 RPC安全机制
RPC是指远程过程调用,也就是说,两台不同的服务器(不受操作系统限制),一个应
用部署在A 上,一个应用部署在B上,若A 想要调用B上的某个方法,由于不在一个内
存空间,不能直接调用,因此需要通过网络来表达调用的语意和传达调用的参数。
Hadoop集群是Master/Slave(主/从)结构,Master包括NameNode和JobTracker, 
Slave包括DataNode和TaskTracker。NameNode可看作分布式文件系统中的管理者, 
主要负责管理文件系统的命名空间、集群配置信息和存储块的复制等。NameNode会将
文件系统的MetaData存储在内存中,这些信息主要包括文件信息、每一个文件对应的文
件块的信息和每一个文件块在DataNode中的信息等。DataNode是文件存储的基本单
元,它将Block存储在本地文件系统中,保存了Block的MetaData,同时周期性地将所有
存在的Block信息发送给NameNode。Client就是需要获取分布式文件系统文件的应用
程序。就通信方式而言,Client与NameNode、NameNode与DataNode都是在不同进程、
不同系统间的通信,因此Hadoop要用到RPC。
RPC安全机制是在HadoopRP中添加权限认证授权机制。当用户调用RPC时,用
户的LoginName会通过RPC头部传递给RPC,之后RPC使用SASL确定一个权限协
议(支持Kerberos和DIGEST-MD5两种),完成RPC授权。
3.3.2 HDFS安全机制
客户端获取NameNode初始访问认证(使用Kerberos)后,获取一个Delegation 
Token,该Token可以作为接下来访问HDFS或者提交作业的凭证。为了读取某个文
件,客户端首先要与NameNode交互,获取对应数据块的BlockAccessToken,然后到相
应的DataNode上读取各个数据块,而DataNode在初始启动后向NameNode注册时,已
经提前获取了这些Token,当客户端要从TaskTracker上读取数据块时,首先认证
Token,通过后才允许读取。
1. Delegation Token 
当用户使用Kerberos证书向NameNode提交认证后,从NameNode 获得一个
DelegationToken,之后该用户提交作业时可使用该DelegationToken进行身份认证。
DelegationToken是用户和NameNode之间的共享密钥,获取DelegationToken的任何
人都可以假冒该用户。只有当用户再次使用Kerberos认证时,才会再次得到一个新的
DelegationToken。
当从NameNode获得DelegationToken时,用户应该告诉NameNode这个Token

的renewer(更新者)。在对该用户的Token进行更新之前,更新者先向NameNode进行

认证。Token的更新将延长该Token在NameNode上的有效时间,而非产生一个新的
Token。为了让一个MapReduce作业使用一个DelegationToken,用户通常需要将
JobTracker作为DolegationToben的更新者。同一个作业下的所有任务使用同一个
Token。在作业完成之前,JobTracker确保这些Token是有效的;在作业完成之后, 
JobTracker就可以废除这个Token。

NameNode随机选取masterKey,并用它生成和认证DelegationToken,保存在
NameNode的内存中,每个DelegationToken都有一个Token,存在expiryDate(过期时
间)。如果curentTime>expiryDate,该Token将被认为是过期的,任何使用该Token 
的认证请求都将被拒绝。NameNode将过期的DelegationToken从内存中删除,另外,如果
Token的owner(拥有者)和renewer废除了该Token,则NameNode将这个DelegationToken 
从内容中删除。SequenceNunber(序列号)随着新的DelegationToken的产生不断增大,唯
一标识每个Token。

当客户端(如一个Task)使用DelegationToken认证时,首先向NameNode发送Token。
TokenID代表客户端将要使用的DelegationToken。NameNode利用TokenID和
masterKey重新计算出DelegationToken,然后检查其是否有效。当且仅当该Token存在于
NameNode内存中,并且当前时间小于过期时间时,这个Token才算是有效的。如果Token 
是有效的,则客户端和NameNode就会使用它们自己的TokenAuthenticator作为密钥、
DIGESTMD5作为协议相互认证。以上双方认证过程中,都未泄露自己的Toke 
Authenticator给另一方。如果双方认证失败,意味着客户端和NameNode没有共享同一个
TokenAuthenticator,那么它们也不会知道对方的TokenAuthenticator。

为了保证有效,DelegationToken需要定时更新。假设JobTracker是一个Token的
更新者,在JobTacker向NameNode成功认证后,JobTracker向NameNode发送要被更
新的Token。

NameNode将进行如下认证。

(1)JobTracker是TokenID中指定的更新者。

(2)TokenAuthenticator是正确的。

(3)curentTime<maxDate。

认证成功之后,如果该Token在NameNode内存中,即该Token是有效的,则

NameNode将其新expiryDate设置为min(curentTime+renewPeriod,maxDate),如果
这个Token不在内存中,说明NameNode重启丢失了之前内存中保存的Token,则
NameNode将这个Token添加到内存中,并且用相同的方法设置其expiryDate,使得
NameNode重启后作业依然可以运行。JobTracker需要在重新运行Tasks失败之前,向
NameNode更新所有的DelegationToken。

注意:只要curentTime<maxDate,那么即使这个Token已经过期,更新者依然可
以更新它。因为NameNode无法判断一个Token过期与否(或是否被废除),或是由于
NameNode重启导致其不在内存中。只有被指定的更新者可以使一个过期的Token复
活,即便攻击者窃取到了这个Token,也不能更新使其复活。

68 


masterKey需要定时更新,NameNode只需要将masterKey而不是Tokens保存在
磁盘上。

2. 
Block 
Access 
Token 
早期的Hadoop并没有对Block(数据块)添加访问控制,对于一个未认证的客户端, 
只要它能获得数据块的BlockID,就可以读取数据块。除此之外,任何人都可以向
DataNode写任意数据。

当用户向NameNode请求访问文件时,NameNode进行文件权限检查。NameNode 
根据对用户所请求的文件(即相关的数据块)是否具有相应权限来做出授权。然而,对于
DataNode中的数据块,以上权限授权是无用的,因为DataNode没有文件的概念,更不用
提文件权限了。

为了在HDFS上实施一致的数据访问控制策略,需要一个机制来将NameNode上的
访问授权实施到DataNode上,并且任何未授权的访问将被拒绝。

NameNode通过使用BlockAcesToken向DataNode传递数据访问权限授权信
息。BlockAcesToken由NameNode生成,在DataNode上使用,其拥有者能够访问
DataNode中的特定数据块,而DataNode能够认证其授权。

BlockAcesToken通过对称密钥机制生成,NameNode和所有的DataNode共享一
个密钥。对于每一个Token,NameNode使用这个共享密钥计算出一个加密的哈希值
(MAC),这个哈希值就是TokenAuthenticator。TokenAuthenticator是构成Block 
AcesToken的必要部分。当DataNode收到一个Token时,它使用自己的密钥重新计
算出TokenAuthenticator,并将其与接收到的Token中的TokenAuthenticator进行比
较,如果匹配,则认为这个Token是可信的。因为只有NameNode和DataNode知道密
钥,所以第三方无法伪造Token。

若使用公钥机制生成Token,则计算成本较为昂贵。其主要优点是:即使一个
DataNode被攻陷,攻击者也不会获得能够伪造出有效Token的密钥。然而,通常在
HDFS部署中,所有DataNode的保护措施都是相同的(相同的数据中心、相同的防火墙
策略)。如果攻击者有能力攻陷一个DataNode,就能够利用相同的手段攻陷所有的
DataNode,而不必使用密钥。因此,使用公钥机制不会带来根本性的差异。

理想情况下,BlockAcesToken是不可转移的,仅其拥有者可以使用它。Token中
包含了其拥有者的ID,无论谁使用这个Token,都要认证其是否为拥有者,所以没有必要
担心Token的丢失。在当前的安全机制中,BlockAcesToken中包含其拥有者的ID, 
但DataNode并不认证其拥有者的ID,预计以后会添加相关认证。

无须更新或者废除一个BlockAcesToken。当一个BlockAcesToken过期时, 
只需获取一个新的Token。BlockAcesToken保存在内存中,无须写入磁盘中。Block 
AcesToken的使用场景如下:HDFS客户端向NameNode请求一个文件的BlockID 
和所在位置;NameNode认证该客户端是否被授权访问这个文件,然后将所需的BlockID 
和对应的BlockAcesToken发送给客户端;当客户端需要访问一个数据块时,将向
DataNode发送BlockID和对应的BlockAcesToken;DataNode认证收到的Block 

69 


AcesToken,判断是否客户端允许访问数据块。HDFS客户端把从NameNode获取的
BlockAcesToken保存在内存中,当Token过期或者访问到未缓存的数据块时,客户

端会向NameNode请求新的Token。

无论数据块实际存储在哪里,BlockAcesToken在所有的DataNode上都是有效的。
NameNode随机选取计算TokenAuthenticator的密钥,当DataNode首次向NameNode注册
时,NameNode将密钥发送给该DataNode。NameNode上有一个密钥滚动生成机制以更
新密钥,并定期将新的密钥发送给DataNode。

3.3.3 
MapReduce安全机制
MapReduce也是Hadoop中的核心组件之一,它为海量的数据提供计算。其安全机
制如下。

1. 
作业提交
用户提交作业(JbSbmio后,oine和JbTakr等服务

ousin) JbClet需与NameNodorce
进行通信,以进行身份认证和获取相应令牌。授权用户提交作业时,JobTracker会为之
生成一个DelegationToken,该Token将被作为Job的一部分存储到HDFS上,并通过
RPC分发给各个TaskTracker,一旦作业运行结束,该Token失效。

2. 
作业控制
peuejb.-iwb指定哪些用户或者用户组

用户提交作业时,可通过参数mardc.oaclve-jo
可以查看作业状态,也可以通过maprdc.oalmoiyjb指定哪些用户或者用户组
可以修改或者关闭作业。
euejb.c-df-o

3. 
任务启动
TaskTracker收到JobTracker分配的任务后,如果该任务来自某个作业的第一个任务, 
则会进行作业本地化:将任务运行相关的文件下载到本地目录中,其中,作业令牌文件会被
写到${mardlcldr}/
tpiae/akTakr/${sr}/jocceoid}/jbTkn目

pe.oa.irvttsrceuebah/${jbooe
录下。由于只有该作业的拥有者可以访问该目录,因此令牌文件是安全的。此外,任务要使
用作业令牌向TaskTracker进行安全认证,以请求新的任务或者汇报任务状态。

4. 
任务(Task)运行
用户提交作业的每个Task均是以用户身份启动的,这样,一个用户的Task便不可
以向TaskTracker或者其他用户的Task发送操作系统信号,对其他用户造成干扰。这
要求为每个用户在所有TaskTracker上建一个账号。

5. 
Shuffle 
当一个MapTask运行结束时,它要将计算结果告诉管理它的TaskTracker,之后每
个ReduceTask会通过HTTP向该TaskTracker请求自己要处理的那块数据,Hadoop 

70 


71 
应该确保其他用户不可以获取MapTask的中间结果,其做法是:ReduceTask对“请求URL” 
和“当前时间”计算HMAC-SHA1值,并将该值作为请求的一部分发动给TaskTracker, 
TaskTracker收到后会认证该值的正确性。
3.4 安全技术工具
为保障Hadoop生态环境安全,除Hadoop自身的安全配置之外,也可以借助外部安
全工具。根据侧重点不同,安全技术工具可分为系统安全工具和认证授权工具两类。其
中,系统安全工具包括Ganglia、Nagios、Ambari等,认证授权工具主要指ApacheSentry 
与Ranger。本节将主要对以上几类安全工具进行详细介绍。
3.4.1 系统安全工具
1. Ganglia 
Ganglia是UCBerkeley发起的一个开源集群监视项目,用于测量数以千计的节点。
Ganglia的核心包含gmond、gmetad及一个Web前端,主要用来监控系统性能,如CPU、
内存、硬盘利用率、I/O 负载、网络流量情况等。通过曲线可以看到每个节点的工作状态, 
对合理调整、分配系统资源、提高系统整体性能起到重要作用。
每台计算机都运行一个收集和发送度量数据的gmond守护进程。接收所有度量数
据的主机可以显示这些数据,并且可以将这些数据的精简表单传递到层次结构中。这种
层次结构模式使得Ganglia可以实现良好的扩展,同时gmond带来的系统负载非常少, 
使得它成为在集群中各台计算机上运行的一段代码,不会影响用户性能,但所有这些数据
多次收集就会影响节点性能。网络中的“抖动”发生在大量小消息同时出现时,可以通过
将节点时钟保持一致的方式来解决问题。
gmetad可以部署在集群内任一节点或者通过网络连接到集群的独立主机,它通过单
播路由的方式与gmond通信,收集区域内节点的状态信息,并以XML数据的形式保存
在数据库中。
由RRDtool处理数据并生成相应的图形显示,以Web方式直观地提供给客户端。
2. Nagios 
Nagios是一个监视系统运行状态和网络信息的监视系统,能够监视所指定的本地或
远程主机及服务,同时提供异常通知功能。
它可以运行在Linux/UNIX平台上,同时提供一个可选的基于浏览器的Web界面, 
以方便系统管理人员查看网络状态、各种系统问题及日志等。
Nagios可以监控的功能包括: 
(1)监控网络服务(如SMTP、POP3、HTTP、NNTP、PING等)。
(2)监控主机资源(如处理器负荷、磁盘利用率等)。
(3)简单的插件设计使得用户可以方便地扩展自己服务的检测方法。

(4)并行服务检查机制。
(5)具备定义网络分层结构的能力,采用parent主机定义来表达网络主机之间的关
系,这种关系可被用来发现和明晰主机死机或不可达状态。
(6)当服务或主机问题产生与解决时,将告警发送给联系人(通过E-mail、短信、用户
定义方式)。
(7)定义一些处理程序,能够在服务或者主机发生故障时起到预防作用。
(8)自动的日志滚动功能。
(9)支持并实现对主机的冗余监控。
(10)可选的Web界面用于查看当前的网络状态、通知、故障历史、日志文件等。
(11)通过手机查看系统监控信息。
(12)指定自定义的事件处理控制器。
3. 
Ambari 
ApacheAmbari是一个基于Web的工具,用于配置、管理和监视Hadoop集群,支持
HDFS 、MapReduce、Hive、HCatalog、HBase、ZooKeper、Oozie、Pig和Sqoop,同时提供
了集群状况仪表盘,如Heatmaps和查看MapReduce、Pig、Hive应用程序的能力,以友好
的用户界面对性能特性进行诊断。

Ambari充分利用了已有的优秀开源软件,巧妙地将它们结合起来,在分布式环境中
具有集群式服务管理能力、监控能力、展示能力。相关的开源软件包括: 

(1)在Agent端,采用puppet管理节点。
(2)在Web端,采用embers作为前端MVC框架和NoeJS相关工具,adeasjs作
为页面渲染引擎,在CSS/HTML 
j
面使用Bootstrap框架。
dhnlbr.方(.) 
(3)在Server端,采用Jety、Spring、JAX-RS等。
(4)同时利用Ganglia、Nagios的分布式监控能力。
Ambari采用Server/Client的框架模式,主要由ambari-agent和ambari-server两部
分组成。Ambari依赖其他已经成熟的工具,如ambari-server依赖python,而ambariagent依赖ruby、puppet、facter等工具,也依赖一些监控工具,如Nagios和Ganglia用于
监控集群状况。其中,puppet是分布式集群配置管理工具,也是典型的Server/Client模
式,能够集中管理分布式集群的安装配置部署,主要语言是ruby;atr是使用Pyton编

fceh
写的一个节点资源采集库,用于采集节点的系统信息,如操作系统信息。由于ambariagent主要使用Python编写,因此使用facter可以很好地采集节点信息。

Ambai项目目录介绍见表3.

r1。

表3.ai项目目录介绍

1 
Ambr

目录

ambari-server 
ambari-agent 

描述
Ambari的Server程序,主要管理部署在每个节点上的管理监控程序
部署在监控节点上运行的管理监控程序

72 


续表

目录

Contrib 
ambari-web 

ambari-views 

Docs 

ambari-common 

描述
自定义第三方库
Ambari页面UI 的代码,作为用户与ambari-server的交互

用于扩展ambari-webUI 中的框架

文档

ambari-server和ambari-agent共用的代码

3.4.2 
ApacheSentry 
1. 
Sentry 
介绍
ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,它提供了细粒度级、
基于角色的授权以及多租户的管理模式。它在Hadoop生态中扮演着“守门人”的角色, 
看守着大数据平台的数据安全的访问。它以插件的形式运行于组件中,通过关系型数据
库(或本地文件)来存取访问策略,对数据使用者提供细粒度的访问控制。

Sentry仅支持基于角色的访问控制。无法直接向用户或组授予权限,需要在角色下
组合权限。只能将角色授予组,而不能将角色直接授予用户。

Sentry授权包括以下4种角色。

(1)资源。资源是要管理访问权限的对象,可能是Server、Database、Table或者
URL(如HDFS 或本地路径)。Sentry支持对列进行授权。
(2)权限。权限的本质是授权访问某一个资源的规则。
(3)角色。角色是一系列权限的集合。
(4)用户和组。一个组是一系列用户的集合。Sentry的组映射是可以扩展的。默认
情况下,Sentry使用Hadoop的组映射(可以是操作系统组或LDAP 中的组)。Sentry允
许将用户和组进行关联,可以将一系列用户放入一个组中。Sentry不能直接给一个用户
或组授权,需要将权限授权给角色,角色可以授权给一个组,而不是一个用户。
2. 
Sentry 
特性
ApacheSentry为Hadoop使用者提供了以下便利。

(1)能够在Hadoop中存储更敏感的数据。
(2)使更多的终端用户拥有Hadoop数据访问权。
(3)创建更多的Hadoop使用案例。
(4)构建多用户应用程序。
(5)符合规范(如SOX 、PCI 、HIPAA 、EAL3 )。
在Sentry诞生之前,对于授权,有两种备选解决方案:粗粒度级的HDFS 授权和咨
询授权,但它们并不符合典型的规范和数据安全需求,原因如下。

73 


(1)粗粒度级的HDFS授权:安全访问和授权的基本机制被HDFS文件模型的粒度
所限制。五级授权是粗粒度的,因为没有对文件内数据的访问控制:用户要么可以访问
整个文件,要么什么都看不到。另外,HDFS权限模式不允许多个组对同一数据集有不同
级别的访问权限。
(2)咨询授权:咨询授权在Hive中是一个很少使用的机制,旨在使用户能够自我监
管,以防止意外删除或重写数据。这是一种“自服务”模式,因为用户可以为自己授予任何
权限。因此,一旦恶意用户通过认证,它不能阻止其对敏感数据的访问。
通过引进Sentry,Hadoop目前可在以下方面满足企业和政府用户的RBAC(Role-
Bae(
soto基于角色的访问控制,5节具体介绍)

sdAceCnrl, 将在5.需求。
1)在安全授权方面,Sentry可以控制数据访问,并对已通过认证的用户提供数据访
问特权。

(2)在访问控制的粒度方面,Sentry支持细粒度的Hadoop数据和元数据访问控制。
Sentry在服务器、数据库、表和视图范围内提供了不同特权级别的访问控制,包括查找、
插入等,允许管理员使用视图限制对行或列的访问。管理员也可以通过Sentry和带选择
语句的视图,根据需要在文件内屏蔽数据。
(3)Sentry通过基于角色的授权简化了管理,能够方便地将访问同一数据集的不同
特权级别授予多个组。

(4)多租户管理:Sentry允许为委派给不同管理员的不同数据集设置权限。
(5)统一平台:Sentry为确保数据安全,提供了一个统一平台,使用现有的HadoopKerberos实现安全认证。
3. 
Sentry 
体系结构的组件及工作流程
1)融合层(Binding)

Binding实现了对不同的查询引擎授权,Sentry将自己的hook()函数插入各SQL引
擎的编译、执行的不同阶段。这些Hook()函数起两大作用:一是起过滤器的作用,只放
行具有相应数据对象访问权限的SQL查询;二是起授权接管的作用,使用Sentry之后, 
Grant/Revoke管理的权限完全被Sentry接管,Grant/Revoke的执行也完全在Sentry中
实现;所有引擎的授权信息也存储在由Sentry设定的统一的数据库中,这样就实现了对
引擎的授权的集中管理。

2)策略引擎(PolicyEngine) 
这是Sentry授权的核心组件。PolicyEngine判定从Binding层获取的输入的权限

要求与服务提供层已保存的权限描述是否匹配。
3)策略读取(PolicyProvider)
PolicyProvider负责从文件或数据库中读取原先设定的访问权限。PolicyEngine以

及PolicyProvider其实对于任何授权体系来说都是必需的,因此是公共模块,后续还可服
务于别的查询引擎。
Sentry权限管理流程如图3.

2所示。
ApacheSentry的目标是实现授权管理,它是一个策略引擎,被数据处理工具用来认

74 


75
图3.2 Sentry权限管理流程图
证访问权限。它具有高度扩展性,可以支持任意的数据模型。例如,它支持ApacheHive 
a的关系数据模型,以及Apache中有继承关系的数据模型。
y提供定义和持久化访问资源策略的方法。目前,这些策略可以存储在文件
也可以存储在能使用远程过程调用(RemoteProcedureCall,RPC)服务访问的数据库
的后端。数据访问工具,如Hive,以一定的模式辨认用户访问数据的请求,例如从一个表
读一行数据或者删除一个表。这个工具请求Sentry认证此次访问是否合理。Sentry构
建请求用户被允许的权限映射并判断给定的请求是否合理。请求工具根据Sentry的判
断结果来允许或禁止用户的访问请求,这就是Sentry的工作流程。
angerr提供一个集中式安全管理框架,提供统一授权和统一审计的能力。
oop生态中的组件(如HDFS、YARN、Hive、HBase、Kafka、Storm等) 
进行细粒度的数据访问控制。通过操作Ranger控制台,管理员可以轻松地通过配置策略
来控制用户访问HDFS文件夹、HDFS文件、数据库、表、字段权限。这些策略可以为不
同时权限可与Hadoop无缝对接。
ngerAdmin、RangerUserSync、RangerTagSync与RangerPlugin组
3所示。
rAdmin 
用户管理策略包含3部分:Web页面、Rest消息处理服务以及数据库。可以把它看
和ClouderaImpalSentr
里, 

3.3 
ApceR
4.ah

1. 
Ranger 
概念
ApacheRange
它可以对整个Had

同的用户和组来设置, 
Ranger由Ra
成,架构如图3.1)Range


nger的架构

但是其他组件也可单独运行存在), 

并将它们保存到MySQL 数据

c用于将UNIX 系统或LDAP 用户或用户组同步到RangerAdmin。
可以用来同步Linux用户信息
SOURCE=LDAP/UNIX 来确认是LDAP 还

当一个用户的请求涉及多个应用系
ag方便快速地授权。

e等一个个大数据组件所提供的插件接口,其
n处拉取该组件配置的所有策略,然后缓存到本地,当有用户

anger权限策略主要由3方面组成,即

76
图3.3 Ra
成数据的集中存储中心(所有的数据都集中存在这里, 
具体有以下作用。
(1)接收UserSync进程传过来的用户或用户组信息, 
库中,在配置权限策略时需要使用这些用户信息。
(2)提供创建policy策略的接口。
(3)提供外部Rest消息的处理接口。
2)RangerUserSync 
RangerUserSynUserSync是Ranger提供的一个用户信息同步接口, 
与LDAP 用户信息。通过配置项SYNC_
是UNIX,默认情况是同步UNIX 信息。
3)RangerTagSync 
同步Atlas中的Tag信息,基于标签的权限管理, 
统中的多个资源的权限时,可以通过只配置这些资源的T4)RangerPlugin 
RangerPlugin是如HDFS 、Hive、HBas
工作主要是从RangerAdmi
请求时提供鉴权服务。
2.Ranger权限模型
Ranger权限模型由一条条权限策略组成。R
用户、资源、如图3.权限, 4所示。

77
图3.4 Ranger权限策略的组成
用户:Ranger可以对用户进行分组,一个用户可以属于多个分组。Ranger支持对用
户或者用户组配置某资源的相关权限。
资源:对于各个不同的组件,资源的表述都不相同。比如,在HDFS 中,文件路径就
是资源,而在Hive中,资源可以指Database、Table甚至Column 。
权限:Ranger可以对各个资源的读、写、访问进行限制,具体可以配置白名单、白名
单排除、黑名单、黑名单排除等条目。
Ranger管理员配置好组件的相关策略后,并且将Ranger插件安装到具体的大数据
组件中,Ranger就开始生效了。这时用户访问Ranger,就会进行权限的校验过程。用户
访问资源权限的校验流程图如图3.5所示。
当用户要请求某个资源时,会先获取和这个资源有关联的所有配置的策略,之后遍历
这些策略,然后根据黑、白名单判断该用户是否有权限访问该资源。从图3.5中可以看
出,黑名单、黑名单排除、白名单、白名单排除匹配的优先级如下。
(1)黑名单的优先级高于白名单。
(2)黑名单排除的优先级高于黑名单。
(3)白名单排除的优先级高于白名单。

78 
图3.5 用户访问资源权限的校验流程图
3.5 Hadoop 的安全性分析
Hadoop的安全问题,其中一方面是Hadoop本身的安全能力,另一方面是对Hadoop 
的安全性进行补充的策略。
3.5.1 Hadoop面临的安全问题
在1.0版本之前,Hadoop基本没有任何安全机制,因此面临着各方面的安全威胁,主
要包括以下几方面。
(1)如何强制所有类型的客户端(比如Web控制台和进程)上的用户及应用进行
认证?(
2)如何确保服务不是服务冒充的(比如TaskTracker和Task,未经授权的进程向
DataNode出示ID以访问数据块等)? 
(3)如何根据已有的访问控制策略和用户凭据强制数据的访问控制? 
(4)如何实现基于属性的访问控制(ABAC)或基于角色的访问控制(RBAC)? 
(5)怎么才能将Hadoop跟已有的企业安全服务集成到一起?

(6)如何控制谁被授权可以访问、修改和停止MapReduce作业? 
(7)怎么才能加密传输中的数据? 
(8)如何加密静态数据? 
(9)如何对事件进行跟踪和审计,如何跟踪数据的出处? 
(10)对于架设在网络上的Hadoop集群,通过网络途径保护它的最好办法是什么? 
上述部分问题可通过Hadoop自身的能力解决,但也有很多是Hadoop所无能为力
的。究其原因,主要是Hadoop最初开发时并没有考虑安全因素。

3.5.2 
Hadoop生态圈安全风险
按照Hadoop最初的设想,它假定集群总是处于可信的环境中,由可信用户使用的相
互协作的可信计算机组成。这就导致整个Hadoop生态圈一度被暴露在安全的风险之
下。Hadoop生态圈的安全风险主要有5类。

1. 
安全认证
任何用户都可以伪装成为其他合法用户,访问其在HDFS 上的数据,获取
MapReduce产生的结果,从而存在恶意攻击者假冒身份,篡改HDFS 上他人的数据,提
交恶意作业破坏系统、修改节点服务器的状态等隐患。由于集群缺乏对Hadoop服务
器的认证,攻击者假冒成为DataNode或TaskTracker节点,加入集群,接受NameNode 
和JobTracker。一旦借助代码,任何用户都可以获取root权限,并非法访问HDFS 或者
MapReduce集群,恶意提交作业、修改JobTracker状态、篡改HDFS 上的数据等。

2. 
权限控制
用户得知数据块的BlockID 后,可以不经过NameNode的身份认证和服务授权,直
接访问相应的DataNode,读取DataNode节点上的数据或者将文件写入DataNode节点, 
并可以随意启动假的DataNode和TaskTracker。对于JobTracker,用户可以任意修改或
者关闭其他用户的作业,提高自身作业的优先级,JabTracker对此不作任何控制。其中, 
无论是粗粒度的文件访问控制,还是细粒度地使用ACL 进行访问控制,都会或多或少抢
占Hadoop集群内部的资源。可从外部在行为上进行额外的权限控制,尤其支持有Hive 
的Hadoop环境。只需要判别HiveSQL 语句的对象和当前用户的Key是否匹配,就可
以通过通信阻断等方式达到权限控制的目的。

3. 
关键行为审计
默认情况下,Hadoop缺乏审计机制,但可以通过Hadoop系产品添加日志监控来完
成一部分审计功能。通常通过日志的记录来判断整个流程中是否存在问题。这种日志的
记录缺乏特征的判断和自动提示功能。完全可以利用进行改进后的审计产品来进行审
计,只审计客户端的行为即可追查到恶意操作或误操作行为。

79 


4. 
静态加密
默认情况下,Hadoop对集群HDFS系统上的文件没有存储保护,所有数据均是
明文存储在HDFS中,超级管理员可以不经过用户允许直接查看和修改用户在云端
保存的文件,这就很容易造成数据泄露。采用静态加密的方式,对核心敏感数据进
行加密处理,使得数据密文存储,1节及6.

可防止泄露风险。具体细节可见本书6.
节相关内容。

5. 
动态加密
默认情况下,Hadoop集群各节点之间,客户端与服务器之间数据明文传输,使得用
户隐私数据、系统敏感信息极易在传输的过程被窃取。解决动态加密一般会提供一个附
加的安全层。对于动态数据而言,即传输到或从Hadoop生态系统传送出来的数据,利用
简单认证与安全层(SASL)认证框架进行加密,通过添加一个安全层的方式,保证客户端
和服务器传输数据的安全性,确保在中途不会被读。具体细节可见本书6.4节相

2节及6.
关内容。

3.3 
Hdop安全应对
5.ao

当Hadoop不具备用户所要求的安全能力,那么它只能转而集成第三方工具,或使用
某个厂商提供的安全加强版Hadoop,或采用其他有创造性的办法。随着Hadoop在云上
的广泛运用,很多公司都对Hadoop提出了安全应对方案,行业内也涌现出很多Hadoop
安全补充工具,如Yahoo提出的Kerberos体系解决安全认证问题、ACL解决访问控制问
题。厂商发布安全产品来弥补Hadoop的不足,主要基于以下考虑。

(1)没有“静态数据”加密。目前HDFS上的静态数据没有加密。那些对Hadoop集
群中的数据加密有严格安全要求的组织,被迫使用第三方工具实现HDFS硬盘层面的加
密,或安全性经过加强的Hadoop版本。
(2)以Kerberos为中心的方式———Hadoop依靠Kerberos做认证。对于采用了其
他方式的组织而言,这意味着要单独搭建一套认证系统。
(3)有限的授权能力———尽管Hadoop能基于用户及群组许可和访问控制列表
(ACL)进行授权,但对于有些组织来说,这样是不够的。很多组织基于XACML和基于
属性的访问控制使用灵活动态的访问控制策略。尽管肯定可以用Acumulo执行这些层
面的授权过滤器,但Hadoop的授权凭证作用是有限的。
(4)安全模型和配置的复杂性。Hadoop的认证有几个相关的数据流,用于应用程序
和Hadoop服务的KerberosRPC认证,用于Web控制台的HtpSpnego认证,以及使用
代理令牌、块令牌、作业令牌。对于网络加密,也必须配置3种加密机制,用于SASL机制
的保护质量,用于Web控制台的SSL,HDFS数据传输加密。所有这些设置都要分别进
行配置,并且很容易出错。
总的来说,针对Hadoop存在的潜在风险,其自身也在逐步完善中,主要表现在: 
(1)HDFS的命令行不变,但在WebUI中添加权限管理。

80 


81 
(2)MapReduce添加ACL,包括:管理员可在配置文件中配置允许访问的user和
group列表;用户提交作业时,可知道哪些用户或者用户组可以查看作业状态,使用参数
mapreduce.job.acl-view-job;用户提交作业时,可知道哪些用户或者用户组可以修改或者
关闭Job,使用参数mapreduce.job.acl-modify-job。
(3)MapReduce 系统目录(即mapred.system.dir,用户在客户端提交作业时, 
JobClient会将作业的job.jar、job.xml和job.split等信息复制到该目录下)访问权限改
为700。
(4)所有Task以作业拥有者身份运行,而不是启动TaskTracker的那个角色。
(5)Task对应的临时目录访问权限改为700。
(6)DistributedCache是安全的。DistributedCache分为两种:shared可以被所有作
业共享;private只能被该用户的作业共享。
3.6 Hadoop 安全技术架构
基于前面对Hadoop安全性的分析,要想实现安全的Hadoop,可以从以下8方面予
以考虑。
(1)认证。提供单点的登录,通过这种方式实现用户身份的认证。
(2)授权。要能够确定用户访问权限,比如对数据集的访问、服务请求等。
(3)访问控制。要有一个基于细粒度和角色的访问控制机制。
(4)数据加密。包括数据处理过程中对中间数据的处理,以及在数据传输和数据存
储过程中的处理,都需要引入数据加密的技术。
(5)网络安全。是否有一个有效的隔离措施,以及对业务行为的安全控制是否有
保障。
(6)系统安全。Hadoop大部分基于Linux操作系统,要有对底层操作系统漏洞的
防护。
(7)基础架构安全。物理层面的安全以及基于安全架构逐步完善的安全措施。
(8)审计监控。是否能够对所有的用户行为和授权行为等进行有效监控,并基于这
些来识别潜在的危险行为。
3.6.1 Hadoop认证授权
Hadoop使用的是HDFS分布式存储文件系统。当用户登录到DataNode访问数据
时,用户的权限可以访问到DataNode目录下的所有数据块。这实际上是一个安全风
险,因为Hadoop没有对用户、用户组和服务进行有效的认证,当执行Hadoop命令时只
是单单通过whoami确定用户身份,这个过程中黑客可以编写whoami脚本模拟超级
用户。
提高Hadoop的安全要从两个层面着手:一是用户层次访问控制;二是服务层次访
问控制。其中,用户层次访问控制要有对用户和用户组的认证机制,具体包括:

(1)Hadoop用户只能访问授权的数据。

(2)只有认证的用户可以向Hadoop集群提交作业。
(3)用户可以査看、修改和终止他们的作业。
(4)只有认证的服务可以注册为DataNode或TaskTracker。
(5)DataNode中数据块的访问需要保证安全,只有认证用户才能访问Hadoop集群
中存储的数据。
服务层次访问控制,即服务之间的互相认证,具体包括: 

(1)可扩展的认证,Hadoop集群包括大量的节点,认证模型需要能够支持大规模的
网络认证。
(2)伪装,Hadoop可以识别伪装用户,保证正确的用户作业隔离。
(3)自我服务,Hadoop作业可能执行很长时间,要确保这些作业可以自我进行委托
用户认证,保证作业完整执行。
(4)安全的IPC,Hadoop服务要可以相互认证,保证它们之间安全通信。
Kerberos是Hadoop的安全基础,未来Hadoop的所有安全措施都要基于Kerberos 
认证原理才能实现。Kerberos是网络的认证协议,可以实现在网络中不传输密码就能完
成身份认证,其原理在于通过对称加密算法生成时间敏感的授权票据。Kerberos具体的
认证过程见本书4.1节相关内容。

3.
3.2 
Hdop网络访问安全
6.ao

关注安全的企业往往都有一套统一身份认证管理机制,用来管理企业内部的终端、网
络设备、上网行为等。Kerberos则实现了Hadoop内部的身份认证管理。Kerberos如何
和企业统一身份认证管理进行有效结合是实现企业网络生态安全的第一步。

向Hadoop请求的客户端用户需要在EIM(统一身份认证管理)系统中注册身份,再
由EIM向终端用户发放Kerberos授权票据,这时客户端会使用该票据向Hadoop请求。
整个过程中EIM系统需要和Hadoop的本地KDC进行数据同步,建立跨域信任。

如图3.6所示,目前主流的Hadoop网络安全措施是通过防火墙将客户端和Hadoop
集群进行逻辑隔离的。防火墙作为网络层面的控制,对恶意端口、无用协议进行有效过
滤,之后部署有很多Hadoop生态组件工具的网关服务器,客户端用户通过统一登录网关
服务器对Hadoop集群进行维护以及提交作业。这样就初步实现了网络层的访问控制、
用户的认证授权,以及行为的访问控制过滤。

随着Hadoop的发展,7所示, 基本的

如图3.它又在网关层上引入了开源项目HUE, 
架构和前面类似,只不过多了HUE的相关功能。HUE可以与EIM系统的身份认证结
合,支持LDAP同步用户和用户组信息,采用HtpFS代理,通过SPANWFO-Base认证
协议访问SSL加密,实现了细粒度的用户访问控制。

随后,Hadoop又有了Kno如图3.它结合了HUE和传统的优势,

x网关集群,8所示, 
内部还是以网关的形式做代理,实现了防火墙的功能对端口和协议进行过滤,同时对用户
进行细粒度的访问控制,不仅如此,它还实现了单点登录。

82 


83
图3.6 Hadoop网络访问安全措施
图3.7 结合HUE 的Hadoop网络访问