2. 程式人生 > >Hive權限之審計

Hive權限之審計

阿新 發佈:2017-07-01
eba yellow hive desc tee nbsp run ng- get

因為在生產環境中大量使用hive。而hive的權限又較弱,假設可以記錄全部hive操作,在增強安全性的同一時候,還可以統計hive表的使用頻率;同一時候假設可以記錄hql的開始和結束時間,則可以找出系統中花費時間較多的job,針對性的進行優化,因此跟蹤hive的使用軌跡,增強安全的同一時候也能方便問題定位。

怎樣記錄用戶操作了?Hive Hook為我們提供的方便的開放接口。

我們對hive的使用主要有兩種使用場景,一是平時直接在命令行下運行的hql操作,此時運行hql的實體就是OS的登錄用戶。第二種是從webapp獲取的業務數據需求人員創建定時報表的hql腳本。此時運行hql的真正實體事實上是報表創建者,系統不過代理運行而已,此時記錄用戶的行為則須要重寫hive.security.authenticator.manager

Hive默認使用HadoopDefaultAuthenticator獲取運行hql的用戶,使用其返回的用戶進行權限驗證。

為了使hive可以以代理的模式去運行,我們須要提供自己的authenticator。返回真正的hql運行者。下面配置可設置authenticator:

<property>

<name>hive.security.authenticator.manager</name>

<value>com.pplive.bip.hive.auth.Authenticator</value>

<description>bip user authenticator</description>

</property>

僅僅有管理員能夠開啟代理模式。能夠使用下面方式傳遞代理用戶:

Hive -d bip.user=xxx 或 hive --define bip.user=xxx

重寫authenticator代碼演示樣例:

public classAuthenticator implements HiveAuthenticationProvider {

private finalstaticString BIP_USER="bip.user";

privateStringuserName;

privateStringbipUser

;

privateList<String>groupNames;

privateConfigurationconf;

@Override

publicList<String> getGroupNames() {

returngroupNames;

}

@Override

publicStringgetUserName() {

this.bipUser = SessionState.get().getHiveVariables().get(BIP_USER);

if(this.bipUser !=null &&!this.bipUser.isEmpty()) {

if( AdminManager.isAdmin(this.userName)) {

returnthis.bipUser;

} else {

thrownewRuntimeException("bip.user is set while youare not admin");

}

} else{

returnthis.userName;

}

}

@Override

publicvoidsetConf(Configuration conf) {

this.conf = conf;

UserGroupInformation ugi = null;

try{

ugi = ShimLoader.getHadoopShims().getUGIForConf(conf);

// UserGroupInformation.createProxyUser(user, realUser);

} catch(Exception e) {

thrownewRuntimeException(e);

}

if(ugi == null){

thrownewRuntimeException(

"Can not initialize PPLive Authenticator.");

}

this.userName = ugi.getUserName();

if(ugi.getGroupNames() !=null) {

this.groupNames = Arrays.asList(ugi.getGroupNames());

}

}

publicString getProxy() {

return this.userName;

}

Hive提供的SemanticHook能夠方便我們記錄hql語義分析前後的狀態。Execute Hook能夠記錄hql翻譯成job提交運行前後的狀態。 Driver Hook能夠記錄包含整個編譯運行過程前後的狀態。

SemanticHook記錄語義分析後的行為:

public voidpostAnalyze(HiveSemanticAnalyzerHookContext context,

List<Task<?

extendsSerializable>> rootTasks)

throws SemanticException {

Hivehive = null;

try {

hive= context.getHive();

}catch(HiveException e) {

e.printStackTrace();

throw new RuntimeException(e);

}

Set<ReadEntity>inputs = context.getInputs();

Set<WriteEntity>outputs = context.getOutputs();

Set<String>readTables = newHashSet<String>();

for(ReadEntity input :inputs) {

Table table = input.getT();

if(table!=null) {

readTables.add(table.getTableName());

}

}

Set<String>writeTables = newHashSet<String>();

for(WriteEntity output :outputs) {

Table table = output.getT();

if(table!=null) {

writeTables.add(table.getTableName());

}

}

HiveAuthenticationProviderauthenticationProvider = SessionState.get().getAuthenticator();

if(authenticationProviderinstanceof Authenticator) {

Authenticatorauthenticator = (Authenticator)authenticationProvider; //ip

this.logger.info(String.format("phase=SA&executor=%s&proxy=%s&db=%s&cmd=%s&readTables=%s&writeTables=%s", authenticator.getUserName(),

authenticator.getProxy(), hive.getCurrentDatabase(),context.getCommand(),readTables.toString(),writeTables.toString()));

}

StringuserName = SessionState.get().getAuthenticator().getUserName();

logger.debug(String.format("%s execute %s, read tables:%s, writetables:%s", userName, context.getCommand(),readTables, writeTables));

}

Execute Hook記錄job狀態:

public classExecuteHook implements ExecuteWithHookContext {

Loggerlogger= Logger.getLogger(DriverRunHook.class);

privateHiveAuthenticationProviderauthenticationProvider = null;

private static final String JOB_START_TIME="PRE_EXEC_HOOK";

private static SimpleDateFormat dateFormat =new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

@Override

public void run(HookContexthookContext) throwsException {

QueryPlanqueryPlan = hookContext.getQueryPlan();

StringqueryId = queryPlan.getQueryId();

StringqueryStr = queryPlan.getQueryStr();

if(authenticationProvider==null){

authenticationProvider= SessionState.get().getAuthenticator();

}

Stringresult = null;

switch(hookContext.getHookType()){

//hive.exec.pre.hooks

case PRE_EXEC_HOOK:

hookContext.getConf().setLong(JOB_START_TIME,System.currentTimeMillis());

break;

//hive.exec.post.hooks

case POST_EXEC_HOOK:

result= "Success";

break;

//hive.exec.failure.hooks

case ON_FAILURE_HOOK:

result= "Failure";

break;

default:

break;

}

if(hookContext.getHookType()!= HookContext.HookType.PRE_EXEC_HOOK&&authenticationProvider instanceofAuthenticator) {

long jobEndTime = System.currentTimeMillis();

HiveConfconf = hookContext.getConf();

long jobStartTime =conf.getLong(JOB_START_TIME, jobEndTime);

long timeTaken =(jobEndTime-jobStartTime)/1000;

Authenticatorauthenticator = (Authenticator)authenticationProvider; //ip

this.logger.info(String.format("phase=EXEC&result=%s&executor=%s&proxy=%s&db=%s&queryId=%s&queryStr=%s&jobName=%s&jobStartTime=%s&jobEndTime=%s&timeTaken=%d", result,authenticator.getUserName(),authenticator.getProxy(),

Hive.get().getCurrentDatabase(),queryId, queryStr,conf.getVar(HiveConf.ConfVars.HADOOPJOBNAME),dateFormat.format(new Date(jobStartTime)),

dateFormat.format(newDate(jobEndTime)),timeTaken));

}

}

}

DriverHook記錄整個過程運行時間:

public classDriverRunHook implements HiveDriverRunHook{

Loggerlogger= Logger.getLogger(DriverRunHook.class);

privateHiveAuthenticationProviderauthenticationProvider = null;

private static SimpleDateFormat dateFormat =new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

private long startTime = 0;

@Override

public voidpreDriverRun(HiveDriverRunHookContext hookContext)

throws Exception {

if(authenticationProvider==null){

authenticationProvider= SessionState.get().getAuthenticator();

}

startTime = System.currentTimeMillis();

}

@Override

public voidpostDriverRun(HiveDriverRunHookContext hookContext)

throws Exception {

if(authenticationProviderinstanceofAuthenticator) {

long endTime = System.currentTimeMillis();

long timeTaken = (endTime-startTime)/1000;

Authenticatorauthenticator = (Authenticator)authenticationProvider; //ip

this.logger.info(String.format("phase=DriverRun&executor=%s&proxy=%s&db=%s&cmd=%s&startTime=%s&endTime=%s&timeTaken=%d", authenticator.getUserName(),authenticator.getProxy(),

Hive.get().getCurrentDatabase(),hookContext.getCommand(),dateFormat.format(newDate(startTime)),dateFormat.format(new Date(endTime)),timeTaken));

}

}

}

Hive權限之審計

相關推薦

Hive審計

eba yellow hive desc tee nbsp run ng- get 因為在生產環境中大量使用hive。而hive的權限又較弱,假設可以記錄全部hive操作,在增強安全性的同一時候,還可以統計hive表的使用頻率;同一時候假設可以記錄hql的開始和結束

linuxsu和sudo的差別

進行 admins 是否 roo lai 表示 sudoers 還記得 平時 我們都知道非常多的文件都僅僅有root有權限來改動,那麽在我們平時的開發過程中都建議使用一般賬號來登錄進行開發。還記得前面說到的ssh嗎。我們也是將同意root登錄設置成no。

Linux裏的特殊a和i

linux裏的特殊權限之a和i linux系統允許對文件和目錄添加特殊權限位和特殊屬性日常管理過程中和恰當的使用命令對一些關鍵文件和目錄添加相應的權限和屬性有效的保護系統文件。近期對這些內容作了一些整理詳細內容如下1首先看一下怎麽查看文件特殊權限屬性命令lsattr [-adlRvV][文件或目錄...]-a

Linux系統默認umask

post number mas 文件的 spa ask 用戶組 clas 系統 默認情況下,目錄權限值為755, 普通文件權限值為644, 那麽這個值是由誰規定的,追究其原因是 umask [root@adminx]# vim /etc/profile 1.假設umask值

08-Linux基礎入門(六)-文件和目錄的屬性及文件類型、文件擴展名及文件基礎

ins tmp first 串口 .py 都是 公眾平臺 cond .com 一、Linux中的文件類型在Linux系統中,可以說一切(包括目錄、普通文件、設備文件等)皆為文件。文件類型包含有普通文件、目錄、字符設備文件、設備文件、符號鏈接文件、管道文件等等,當執行ls

10-Linux基礎入門(八)-文件和目錄的屬性及用戶與組和時間戳基礎

log 信息 p s center 新浪 shell 使用 自己的 用戶配置 一、概述Linux是一個多用戶、多任務的操作系統,對於Linux系統來說,由於角色不同,權限和所完成的任務也不同。用戶的角色是通過UID和GID識別的,用戶的UID就相當於我們的身份證一樣,用戶名

特殊ACL幹貨

size -- bfc img aac 功能 ron evo cee 在/testdir/dir裏創建的新文件自動屬於devop組,組apps的成員如:jincheng能對這些新文件有讀寫權限,組dbs的成員如:martin只能對新文件有讀權限,其它用戶(不屬於devop,

Liunx 用戶目錄

總結 log rwx 今天 download spool https 用戶權限 better 總結一下: 今天又對liunx權限的認知多了一點,就是關於目錄的權限的作用 可以打個比方來形容就是:相當於一個大門 只有目錄權限都有的情況下,才能夠對目錄中的文件進行目錄權限操

作業08《MVC實現用戶

用戶驗證 配置 配置文件 接收 登錄頁面 模型 mode mvc 驗證 1. 賦給用戶一個userid,在用戶角色表將用戶和角色關聯起來,在角色權限表中將角色和權限對應起來,權限表中存儲的是左邊菜單欄的名稱。 2. 在判斷權限時,通過用戶的userid,獲取其角色id,然後

MySQL優化——為用戶開通mysql

article ont sdn blank con ges 轉載 tail targe 轉載請註明出處:http://blog.csdn.net/l1028386804/article/details/46627263 為用戶開通mysql權限: grant

spark-local 模式 提示 /tmp/hive hdfs 不夠的問題

spark 大數據 hadoop spark版本為2.0 在spark 在 local 模式下啟動,有時會報/tmp/hive hdfs 權限不夠的問題,但是我們並沒有將hdfs-site.xml配置文件放到我們的項目中,spark的文件應該會存在本地電腦上,但是為什麽會報這個錯誤呢?這個問

網站管理 角(jue)色管理

alt 逗號 ont 清除 ++ function 字符串 b- 如果 公司或網站的正常運行,離不開管理員對各個員工的合理分配,那先看看權限管理中的角色管理好了: 要更改用戶的角色,那麽先來理一下思路: (1)用戶現在是什麽角色? (2)用戶將要成為什麽角色? (3)怎樣更

Python第5堂課(linux系統用戶群組篇)

用戶添加 -s 用戶和組 alex 更改 讀取 ... 一個 顯示 作業一: 1) 新建用戶natasha,uid為1000,gid為555,備註信息為“master” 2) 修改natasha用戶的家目錄為/Natasha 3) 查看用戶信息配置文件的最後一行 4) 為n

yii2 rbac控制菜單menu詳細教程

cheng gda zhong ssl print ads xiv sheng bce %E5%90%91%E9%87%8F%E8%87%AA%E5%9B%9E%E5%BD%92%E6%A8%A1%E5%9E%8BVS%E9%A3%8E%E9%99%A9%E4%BB%B7%

Linux中管理文件屬性

刪除文件 bsp 加權 改名 文件屬性 顯示 文件內容 linux中權限 linux chattr [+-=][選項] 文件或目錄名   +  增加權限   -   刪除權限   =  等於某權限   選項:   i  文件設置i屬性,不允許對文件進行刪除、改

老男孩linux取得文件的對應的數字練習題

sed cut awk linux 老男孩linux之取得文件的權限對應的數字練習題老男孩linux之取得文件的權限對應的數字練習題問題:如何取得shiayn文件的權限對應的數字內容,如-rw-r--r-- 為644,要求使用命令取得644這樣的數字。創建文件shiyan[[email pro

OA為用戶設置角色和為用戶設置

code remove art url tpm begin -a list entity 1.為用戶設置角色 1 { 2 Layout = null; 3 } 4 @using OA.Model 5 <!DOCTYPE html> 6

java面向對象關鍵字,修飾符

父類 不能訪問 導入 工具 編碼 sys 共享 軟件 logs 1.關鍵字:this,static,package,importthis:1、表示對當前對象的引用!2、表示用類的成員變量,而非函數參數,註意在函數參數和成員變量同名是進行區分!其實這是第一種用法的特例,比較常

分析SUID、SGID、sticky

linux、網絡SUIDUID我們都知道是用戶標識,可以使用命令查看當前用戶idid -u username //顯示當前用戶的id,其中0表示管理員(一般為root)/etc/shadow文件。對任何人都不開放權限,除了root用戶[[email protected]/* */ ~]#ll /

MongoDB 學習筆記 管理基礎

顯示 命令 修改 技術 sky 需要 bad 官方 改密碼 權限管理基礎 MongoDB有很多用戶roles,這裏只是簡單列舉下命令的使用,具體的role的含義,請查閱官方文檔。 https://docs.mongodb.com/manual/reference/bui