devbox
小丑西瓜9
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

CDH-hdfs的acls_hdfs setfacl mask

作者:小丑西瓜9 | 2024-06-04 21:37:31

hdfs setfacl mask

巨坑

不要随便改文件权限,尤其是hadoop,ssh相关的,有可能多加了个acl用户导致无法启动,亲遇因为使用了setfacl -m -R把var下的目录都加上了etl_ai用户,导致该节点nodemanager和datanode无法启动的情况。

一、SRC

https://docs.cloudera.com/documentation/enterprise/5-16-x/topics/cdh_sg_hdfs_ext_acls.html
https://www.cnblogs.com/MLibra/p/6240209.html

chmod、chown命令跟linux原则上相同,可以把文件权限分为u,g,o三个组。而setfacl可以对每一个文件或目录设置更精确的文件权限。比如:让某一个用户对某一个文件具有某种权限。而传统的只能对属主用户的权限进行设定。将一个文件的访问者抽象为3种,每种可以设置3种权限。可以使用用户和组的组合来实现复杂的权限需求。==》每个文件可以设置多个属主、属组,每个主和组又可以单独设置权限。

HDFS支持POSIXAccess Control Lists(ACL),也就是POSIX权限控制。这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL(Access Control List)。每个文件可以设置多个属主、属组,每个主和组又可以单独设置权限,可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,可以实现更复杂的权限需求。
如,某一个文件,不让单一的某个用户访问。

2个命令:

二、getfacl

hdfs dfs -getfacl [-R] <path>

<path>: 文件或目录路径
-R: 使用此选项可以递归地列出所有文件和目录的ACL。

  • 1
  • 2

例:
获取/user/hdfs/file路径下的文件ACL列表
hdfs dfs -getfacl /user/hdfs/file
遍历获取/user/hdfs/file路径下所有文件ACL列表
hdfs dfs -getfacl -R /user/hdfs/file

三、setfacl

1. mask

acl权限中有个mask的选项,它是其他用户(不是其他组)的最大ACL权限。当设置其他用户或组的ACL权限时,要跟mask的权限“相与”之后产生的权限才是该用户的最终权限,也就是加入mask的最大权限是rx,但是你给st用户设置的是rwx权限,此时st用户它的权限只有rx的权限,因为与最大权限“相与”得出的结果就是rx。
如果说ACL的优先级高于UGO,那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组能够得到的最大的权限。这样我们在不改变已有ACL的定义的基础上,可以临时提高或是降低安全级别。

2. default

如果我们希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认(Default) ACL。default只能对目录设置,对目录下所有文件都有效。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。用setfacl的-d选项就可以做到这一点。

hdfs dfs -setfacl [-R] [-b|-k -m|-x <acl_spec> <path>]|[--set <acl_spec> <path>]

设置组的话只需要把setfacl -m u::rwx 中的u改为g即可,大致差不多。

设置mask的话,setfacl -m u::rwx 中的u改为m,并且这个可不针对用户和组哦,其他的大致差不多。

在使用-R时,要放在-m之前

使用-d的话,就会把默认的都加上去,针对目录哦。

COMMAND OPTIONS
<path>: 路径
<acl_spec>: 逗号分隔的ACL权限列表。
--set: 使用该选项指定的路径完全取代现有的ACL。之前的ACL将不再适用。
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑,跟随符号链接
-P,       --physical 依照自然逻辑,不跟随符号链接
          --restore=file 恢复访问控制列表,和“getfacl -R”作用相反
          --test 测试模式,并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

例:
赋予ben用户和组读写/user/hdfs/file路径的权限。user:和group:是语法
hdfs dfs -setfacl -m user:ben:rw- /user/hdfs/file

撤销user用户及alice用户组对/user/hdfs/file路径的ACL
hdfs dfs -setfacl -x user:alice /user/hdfs/file

赋予用户user及hadoop组读写权限,给group和others只读权限
hdfs dfs -setfacl --set user::rw-,user:hadoop:rw-,group::r--,other::r-- /user/hdfs/file

[root@localhost ~]# getfacl test     #查看acl
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@localhost ~]# setfacl -m u:tank:rx test   #给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# getfacl test    #查看acl
# file: test
# owner: root
# group: root
user::rw-
user:tank:r-x      #已加入
group::r--
mask::r-x
other::r--

[root@localhost ~]# setfacl -m u::rwx test   #设置默认用户,读,写,可执行
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:tank:r-x
group::r--
mask::r-x
other::r--

[root@localhost ~]# setfacl -b test     #清除所有acl
[root@localhost ~]# getfacl test 
# file: test
# owner: root
# group: root
user::rwx
group::r--
other::r--

[root@localhost ~]# setfacl -m u:tank:rx test      #给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:testtank:rx test  #给testtank用户向test文件增加读和执行的acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
user:tank:r-x
group::r--
mask::r-x
other::r--


[root@localhost ~]# setfacl -x u:tank test    #清除tank用户,对test文件acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
group::r--
mask::r-x
other::r--

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63

注意:父目录的acl权限不会自动应用在子目录上,想要递归应用在子目录中,要在父目录上使用default关键字执行

这个操作只针对/project
hdfs dfs -setfacl -m group:hadoopdev:r-x /project

这个操作针对/project和/project下的所有子目录
hdfs dfs -setfacl -m default:group:hadoopdev:r-x /project
hdfs dfs -mkdir /project/dev
此时/project/dev的属组会多一个hadoopdev,有r和x的权限

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号