CentOS HDFS权限管理实践

1. 基础权限配置

   • 权限模型：采用POSIX模型，通过hdfs dfs -chmod设置文件/目录权限（如755），-chown修改所有者和组。
   • 超级用户：默认hdfs用户拥有完全权限，可在core-site.xml中配置代理用户权限。

2. 启用高级权限控制

   • ACL（访问控制列表）：
     • 启用：在hdfs-site.xml中设置dfs.namenode.acls.enabled=true。
     • 命令：hdfs dfs -setfacl -m user:user1:rwx /path（为用户添加权限），-getfacl查看ACL。
   • 默认权限：通过fs.permissions.umask-mode配置默认权限（如022对应755目录权限）。

3. 用户与组管理

   • 依赖Linux用户/组体系，使用useradd/groupadd创建用户和组，usermod添加用户到组。
   • 确保HDFS服务以专用用户（如hdfs）运行，避免权限滥用。

4. 安全增强措施

   • Kerberos认证：在core-site.xml和hdfs-site.xml中启用Kerberos，需配置票据和密钥文件。
   • 审计日志：在core-site.xml中配置hadoop.security.audit.log参数，记录权限操作。

5. 生产环境建议

   • 定期通过hdfs dfs -ls -R检查权限，避免权限继承错误。
   • 敏感数据目录设置严格权限（如700），并结合ACL限制特定用户访问。

参考来源：