我看到一些文章说默认身份验证Hadoop是不安全的,因为“在默认身份验证中,Hadoop和群集中的所有计算机都相信所提供的每个用户凭据。”例如,在文章https://blog.eduonix.com/bigdata-and-hadoop/learn-secure-hadoop-cluster-using-kerberos-part-1/中,我仍然不明白为什么会发生这种情况,Linux操作系统不是无法验证凭据吗?有没有人可以提供详细的示例进行解释?
答案 0 :(得分:0)
假定它确实使用“ Linux OS”方式来验证凭据,则不能保证没有Hadoop项目外部的工具,系统中的每个节点都具有相同的凭据。开箱即用,启用访问控制后,HADOOP_USER_NAME环境变量会检查到您访问的所有内容,但这只是一个纯字符串,很容易被覆盖。
ACLs do work similarly to the Unix users and groups,但是即使那样,即使我在其他计算机上登录该帐户,该计算机上的“ bob”用户也不应与其他计算机相同。
这就是LDAP / AD / Kerberos外部系统发挥作用的地方,在Hadoop安全成为主要问题之前就已使用过这些系统。这些功能允许仅在Hadoop之外进行集中的用户和访问管理
理论是,有效地保护一小批有限使用的机器要容易得多,而不是一大套管理员可能无法控制的异构,多用途服务器和工作站。
https://docstore.mik.ua/orelly/networking_2ndEd/ssh/ch11_04.htm