1、黑客注入脚本,以hadoop-yarn用户疯狂提交 2、署名用户为yarn的进程疯狂占用CPU,整个集群CPU跑慢
处理: 1、先收回\tmp目录的执行权限(为解燃眉之急,这一步是最快的,可以快速让环境恢复正常的) 2、对yarn提交任务进行最小权限控制,用户权限控制 3、运维安全管理,端口号管理(8088这个端口特别关照) 4、查看yarn用户的crontab,如下: 清理掉它 5、清理ssh里的可疑文件,和known hosts
yarn的权限管理分为三个部分,第一是如何区分管理员和普通用户;第二是服务级别的权限,比如那些用户向集群提交ResourceManager提交应用管理;第三是队列级别的权限,比如那些用户可以向队列A提交作业
1)启动ACL管理,CDH配置如图:
2)yarn.admin.acl参数去指定管理员,作用是指定谁可以执行yarn rmadmin/yarn kill等命令,CDH配置如图:
1)对应配置 yarn.scheduler.capacity.${queue-name}.acl_submit_applications,设置能够向该队列提交的user/group,其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制
#queue-name=root <property> <name>yarn.scheduler.capacity.root.acl_submit_applications</name> <value> </value> #空格表示任何人都无法往root队列提交作业 </property> #queue-name=root.testqueue <property <name>yarn.scheduler.capacity.root.testqueue.acl_submit_applications</name> <value>test testgrp</value> #testqueue只允许test用户/testgrp组提交作业 </property>yarn.scheduler.capacity.${queue-name}.acl_administer_queue,设置能够管理队列的user/group(如执行kill等操作),其中 ${queue-name} 为队列的名称,可以是多级队列,注意多级情况下的ACL继承机制
#queue-name=root <property> <name>yarn.scheduler.capacity.root.acl_administer_queue</name> <value> </value> </property> #queue-name=root.testqueue <property> <name>yarn.scheduler.capacity.root.testqueue.acl_administer_queue</name> <value>test testgrp</value> </property>2)CDH中的配置