Yarn权限

tech2025-07-07  3

一、yarn漏洞

1、黑客注入脚本,以hadoop-yarn用户疯狂提交 2、署名用户为yarn的进程疯狂占用CPU,整个集群CPU跑慢

处理: 1、先收回\tmp目录的执行权限(为解燃眉之急,这一步是最快的,可以快速让环境恢复正常的) 2、对yarn提交任务进行最小权限控制,用户权限控制 3、运维安全管理,端口号管理(8088这个端口特别关照) 4、查看yarn用户的crontab,如下: 清理掉它 5、清理ssh里的可疑文件,和known hosts

二、yarn权限管理

yarn的权限管理分为三个部分,第一是如何区分管理员和普通用户;第二是服务级别的权限,比如那些用户向集群提交ResourceManager提交应用管理;第三是队列级别的权限,比如那些用户可以向队列A提交作业

2.1 管理员用户与组和普通用户与组区别

1)启动ACL管理,CDH配置如图:

2)yarn.admin.acl参数去指定管理员,作用是指定谁可以执行yarn rmadmin/yarn kill等命令,CDH配置如图:

2.2 控制服务级别的权限

如何配置: user1,user2 group1,group2 #user和group用空格隔开 group1,group2 #只有group情况下,必须在最前面加上空格

2.3 队列级别的权限

1)对应配置 yarn.scheduler.capacity.${queue-name}.acl_submit_applications,设置能够向该队列提交的user/group,其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root <property> <name>yarn.scheduler.capacity.root.acl_submit_applications</name> <value> </value> #空格表示任何人都无法往root队列提交作业 </property> #queue-name=root.testqueue <property <name>yarn.scheduler.capacity.root.testqueue.acl_submit_applications</name> <value>test testgrp</value> #testqueue只允许test用户/testgrp组提交作业 </property>

yarn.scheduler.capacity.${queue-name}.acl_administer_queue,设置能够管理队列的user/group(如执行kill等操作),其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制

#queue-name=root <property> <name>yarn.scheduler.capacity.root.acl_administer_queue</name> <value> </value> </property> #queue-name=root.testqueue <property> <name>yarn.scheduler.capacity.root.testqueue.acl_administer_queue</name> <value>test testgrp</value> </property>

2)CDH中的配置

最新回复(0)