2. 程式人生 > >十三:Transparent Encryption in HDFS(轉)

十三:Transparent Encryption in HDFS(轉)

阿新 發佈:2017-08-31
存儲 oop with combined 生成器 spn prop password and

透明加密:http://blog.csdn.net/linlinv3/article/details/44963429

hadoop透明加密 kms

簡介   Hadoop Key Management Server(KMS)是一個基於HadoopKeyProvider API編寫的密鑰管理服務器。他提供了一個client和一個server組件,client和server之間基於HTTP協議使用REST API通信。Client是一個KeyProvider的實現,使用KMS HTTP REST API與KMS交互。KMS和它的client有內置的安全機制,支持HTTP SPNEGO Kerberos認證和HTTPS安全傳輸。KMS是一個Java Web應用程序,運行在與Hadoop發行版綁定在一起的預先配置好的Tomcat服務器上。
  HDFS 實現透明,端到端加密。配置完成後,用戶往hdfs上存儲數據的時候,無需用戶做任何程序代碼的更改(意思就是調用KeyProvider API ,用於在數據存入到HDFS上面的時候進行數據加密,解密的過程一樣)。這意味著數據加密和解密由客戶端完成的。HDFS 不會存儲或訪問未加密的數據或數據加密密鑰(由kms管理)。

連接地址: http://archive.cloudera.com/cdh5/cdh/5/hadoop/hadoop-project-dist/hadoop-hdfs/TransparentEncryption.html http://hadoop.apache.org/docs/r2.6.0/hadoop-kms/index.html

轉載請註明出處 http://blog.csdn.net/linlinv3/article/details/44963429
背景介紹 越來越多的用戶關註安全問題,都在尋找一種有效的,方便的加密方式。hadoop提供了幾種不同形式的加密,最底層的加密,加密所有節點數據,有效地保護了數據,但是卻缺乏更細粒度的加密;

kms 透明加密可以做到更細粒度的加密; 加密可以在不同的層級進行,包括軟件/軟件堆棧,選擇不同的加密層級各有優缺點
  • 應用程序級加密。這是最安全、最靈活的方法。應用程序最終控制是什麽加密,可以準確地反映用戶的需求。然而,編寫應用程序這樣做是很難的。這也不是一個選擇為客戶現有的應用程序不支持加密。
  • 數據庫級加密。類似的應用程序級加密的屬性。大多數數據庫廠商提供某種形式的加密。然而,可能有性能問題。一個例子是,索引不能加密。
  • 文件系統級進行加密。該選項提供了高性能、應用程序透明,通常容易部署。但是,它無法模型應用程序級別的一些政策。例如,多租戶應用程序基於最終用戶可能想要加密。一個數據庫可能需要不同的加密設置每一列存儲在單個文件中。
  • 磁盤級別加密。容易部署和高性能,但也很不靈活。
hdfs處於數據庫加密層和文件系統加密層之間。能有效地防止對文件系統的攻擊,因為他的存儲都是加密的。對於每個用戶可以有不同的加密區
體系結構

Kms 有一個加密區 這個特殊的區域 對於能夠進行操作他的用戶 提供有寫入和讀取的權限。當加密區被創建的時候,每個加密區有唯一的秘鑰, data encryption key (DEK),秘鑰dek不由hdfs直接控制,但是hdfs控制encrypted data encryption key (EDEK),被加密的秘鑰;由客戶端解密EDEK;
kms server kms 服務器
 kms client kms 客戶端
 kms zone kms 加密區
配置
kms 配置
kms server配置
 kms-site.xml 文件配置
1、kms backed keyProvider keyProvider 存儲地方的配置Configure the KMS backing KeyProvider properties in the etc/hadoop/kms-site.xml configuration file:
配置kms keyProvider存儲的地方
<!-- KMS Backend KeyProvider -->
  <property>
    <name>hadoop.kms.key.provider.uri</name>
    <value>jceks://[email protected]/${user.home}/kms.keystore</value>
    <description>
      URI of the backing KeyProvider for the KMS.
    </description>
  </property>
  <property>
    <name>hadoop.security.keystore.java-keystore-provider.password-file</name>
    <value>kms.keystore</value>
    <description>
      If using the JavaKeyStoreProvider, the password for the keystore file.
    </description>
  </property>
這裏的keystore需要用 java 秘鑰生成器來生成
keytool -genkey -alias ‘key1‘; keytool -delete -alias ‘key1‘;
2、kms cache kms 緩存配置The cache is used with the following 3 methods only, getCurrentKey() and getKeyVersion() and getMetadata().配置緩沖區,這樣的話,當獲取 getCurrentKey() and getKeyVersion() and getMetadata() 的時候 不用每次去訪問 keystore 只用從緩存中讀取就可以。當然,秘鑰更新或者被刪除的時候,會自動更新。
 <!-- KMS Cache -->
  <property>
    <name>hadoop.kms.cache.enable</name>
    <value>true</value>
    <description>
      Whether the KMS will act as a cache for the backing KeyProvider.
      When the cache is enabled, operations like getKeyVersion, getMetadata,
      and getCurrentKey will sometimes return cached data without consulting
      the backing KeyProvider. Cached values are flushed when keys are deleted
      or modified.
    </description>
  </property>

  <property>
    <name>hadoop.kms.cache.timeout.ms</name>
    <value>600000</value>
    <description>
      Expiry time for the KMS key version and key metadata cache, in
      milliseconds. This affects getKeyVersion and getMetadata.
    </description>
  </property>

  <property>
    <name>hadoop.kms.current.key.cache.timeout.ms</name>
    <value>30000</value>
    <description>
      Expiry time for the KMS current key cache, in milliseconds. This
      affects getCurrentKey operations.
    </description>
  </property>
3、kms audit log 消息聚合日誌配置

Audit logs are aggregated for API accesses to the GET_KEY_VERSION, GET_CURRENT_KEY, DECRYPT_EEK, GENERATE_EEK operations.

Entries are grouped by the (user,key,operation) combined key for a configurable aggregation interval after which the number of accesses to the specified end-point by the user for a given key is flushed to the audit log.
配置聚合日誌,將會對 (user,key,operation) 一樣的操作進行合並輸出,減少日誌流量
<!-- KMS Audit -->
  <property>
    <name>hadoop.kms.audit.aggregation.window.ms</name>
    <value>10000</value>
    <description>
      Duplicate audit log events within the aggregation window (specified in
      ms) are quashed to reduce log traffic. A single message for aggregated
      events is printed at the end of the window, along with a count of the
      number of aggregated eventsfu.
    </description>
  </property>
4、kms security kms 安全配置 這裏可以有兩種配置 一種是使用simple 一種是使用 kerberos使用 simple 只用如下配置就可以
  <!-- KMS Security -->

  <property>
    <name>hadoop.kms.authentication.type</name>
    <value>simple</value>
    <description>
      Authentication type for the KMS. Can be either &quot;simple&quot;
      or &quot;kerberos&quot;.
    </description>
  </property>

kms-ent.sh 配置
  • KMS_HTTP_PORT
  • KMS_ADMIN_PORT
  • KMS_MAX_THREADS
  • KMS_LOG
 export KMS_LOG=${KMS_HOME}/logs/kms

 export KMS_HTTP_PORT=16000

 export KMS_ADMIN_PORT=16001
配置完成後 啟動 kms sbin/kms.sh start ;停止 ksm sbin/kms.sh stop ;jps 後發現進程有 Bootstrap 這個進程就說明啟動成功;




kms 客戶端配置

kms-site.xml 配置如下參數
/etc/hadoop/conf/hdfs-site.xml
<property>
     <name>dfs.encryption.key.provider.uri</name>
     <value>kms://[email protected]:16000/kms</value>
</property>
/etc/hadoop/confcore-site.xml
<property>
      <name>hadoop.security.key.provider.path</name>
      <value>kms://[email protected]:16000/kms</value>
</property>
重新啟動hadoop
創建key
# su - hdfs
# hadoop key create key1    
# hadoop key list -metadata
技術分享
技術分享
創建加密區
# hdfs dfs -mkdir /secureweblogs
# hdfs crypto -createZone -keyName key1 -path /secureweblogs
# hdfs crypto -listZones
技術分享技術分享
實驗結果:
用 casliyang用戶 在加密區上傳文件: hdfs dfs -copyFromLocal /home/casliyang/read.log /zone1/web.log 下載文件 hdfs dfs -copyToLocal /zone1/web.log /home/casliyang/3.log
都可以成功
用hadoop220用戶 在加密區上上傳或者下載或者查看均失敗,提示沒有權限
技術分享
技術分享

技術分享
技術分享

補充說明:1、kms 啟動時候報錯,說找不到加密文件此處的加密文件可以是java自動生成的keystore 使用java keytool命令
生成秘鑰 keytool -delete -alias ‘kms.keystore‘; 刪除別名為kms.keystore的秘鑰keytool -genkey -alias ‘kms.keystore‘;  生成 別名為kms.keystore的秘鑰使用生成秘鑰的命令後,會在用戶根目錄下生成相應的文件
2、kms 啟動時候 報錯技術分享
首先檢查 是否kms已經啟動,若 kms 確實沒有啟動起來,這時候需要到 根目錄root下的 temp文件夾 手動刪除 kms.pid 然後再次啟動kms技術分享
3、加密區建立成功後,任何用戶都能進行訪問等一系列操作

4、加密文件的原始隱藏路徑 :
hdfs dfs -cat /.reserved/raw/zone1/localfile.dat     zone1 是加密區  localfile.dat 是加密文件 ,查看該文件 顯示的是被加密的文件(亂碼);


來自為知筆記(Wiz)

十三:Transparent Encryption in HDFS(轉)

相關推薦

十三Transparent Encryption in HDFS()

存儲 oop with combined 生成器 spn prop password and 透明加密:http://blog.csdn.net/linlinv3/article/details/44963429 hadoop透明加密 kms簡介   Hadoop

【Java並發編程】之十三生產者—消費者模型(含代碼)

tool boolean 通知 阻塞 上一個 [] ble 否則 線程 轉載請註明出處:http://blog.csdn.net/ns_code/article/details/17249321 生產者消費者問題是線程模型中的經典問題:生產者和消費者在同一時間段

windows下安裝pywin32報錯close failed in file object destructor:sys.excepthook is missing lost sys.stderr

ges cep 題解 ssi -i pos 搜索 pyw ima 今晚要寫搜索引擎作業,搭scrapy環境,遇到了下面問題: windows下安裝pywin32報錯:close failed in file object destructor:sys.excepthook

Oracle學習(十三)閃回

any pool dsm pan 開啟 num ber 表示 tween 1.知識點:能夠對比以下的錄屏進行閱讀 SQL> --1. 錯誤地刪除了記錄 SQL> --2. 錯誤地刪除了表 SQL> --3. 查詢歷史記錄 SQL> --4. 怎

戴文的Linux內核專題03 驅動程序【

規模 閃存 目錄 超級計算機 用戶 memory ipa mes 摩托 轉自:http://www.lai18.com/content/432194.html 驅動程序是使內核能夠溝通和操作硬件或協議(規則和標準)的小程序。沒有驅動程序,內核不知道如何與硬件溝通或者處理協

What does “=>” mean in import in scala?(自StackOverflow問答)

case and tty become ror body etime name out As others have mentioned, it‘s an import rename. There is however one further fea

web開發模式小結頁面亂碼和跳

ati 字符 -- 默認 htm *** 亂碼 控制 ram 本文由付老師總結書寫 java開發模式: (1)第一種開始模式:javaBean+jsp : 優點:可以為web程序在jsp中減少java代碼量 適用於該開發模式的

JMeter 十三生成 report dashboard

result bsp 3.x out rom blog borde 3.2 先生 參考:http://jmeter.apache.org/usermanual/generating-dashboard.html JMeter 3.x開始,可以生成HTML格式的report

Oracle數據庫中心雙活之道ASM vs VPLEX (

復用 讀寫 並且 壓力測試 發出 我們 config 影響 計算節點 雙活方案對比:ASM vs V-PLEX 作者:王文傑 Oracle公司 Principle system analyst Oracle高級服務部 Oracle數據庫中心的災備的演變,經歷了多年的

【Python】學習筆記十三函數的參數對應

color 筆記 屏幕 *args borde 基於 但是 all small 位置傳遞 我們在定義函數時候已經對函數進行了參數傳遞調用,但是那只是粗淺的位置傳遞 示例 def sum(a,b,c): d = a+b+c return d p

Java搜索引擎選擇 Elasticsearch與Solr(

文件格式 article base 使用 社區 run 穩定 tails 定制 Elasticsearch簡介 Elasticsearch是一個實時的分布式搜索和分析引擎。它可以幫助你用前所未有的速度去處理大規模數據。 它可以用於全文搜索,結構化搜索以及分析,當然你也可

CF498DTraffic Jams in the Land——題解

連接 urn som types force pin 駕駛員 是不是 names https://vjudge.net/problem/CodeForces-498D http://codeforces.com/problemset/problem/498/D 題面描述

springboot(十三)springboot小技巧

小技巧 test 小知識點 技巧 cati 部署 存在 details sources 一些springboot小技巧、小知識點 初始化數據 我們在做測試的時候經常需要初始化導入一些數據,如何來處理呢?會有兩種選擇,一種是使用Jpa,另外一種是Spring JDBC。兩種方

十三全排列-區間數排列

ron pos sizeof 區間 return ret 輸入 fun string 問題:全排列-區間數排列題目描述對n和m之間的數進行全排列(包括n和m,且:0<n<m<30),並且輸出所有的排列結果輸入兩個整數,分別為n和m輸出n和m之間所有數的全排

LeetCode33. Search in Rotated Sorted Array(Medium)

可能 要求 時間 idt stat ems oid pri 折半查找法 1. 原題鏈接 https://leetcode.com/problems/search-in-rotated-sorted-array/description/ 2. 題目要求 給定一個按升序排列的數

odoo10學習筆記十三qweb報表

表達 any http aid eva 對象 type ext chche 原文地址:http://www.cnblogs.com/ygj0930/p/7151732.html 一:概述 報表是使用qweb定義的,報表的pdf導出是使用wkhtmltopdf來完成的。 如果

css背景圖片位置background的position(

osi ack post 前景 相對 right 並且 back top position的兩個參數:水平方向的位置,垂直方向的位置----------該位置是指背景圖片相對於前景對象的1.background:url(../image/header.jpg) n

Hulu機器學習問題與解答系列 | 二十三神經網絡訓練中的批量歸一化

導致 xsl 泛化能力 恢復 不同 詳細 過程 ice ini 來看看批量歸一化的有關問題吧!記得進入公號菜單“機器學習”,復習之前的系列文章噢。 今天的內容是 【神經網絡訓練中的批量歸一化】 場景描述 深度神經網絡的訓練中涉及諸多手調參數,如學習率,權重衰減系數,

Python基礎教程筆記十三元組

元素 traceback pre call 但我 使用下標 列表 class 不同之處 Python 元組 Python的元組與列表類似,不同之處在於元組的元素不能修改。 元組使用小括號,列表使用方括號。 元組創建很簡單,只需要在括號中添加元素,並使用逗號隔開即可。

機器學習筆記十三Ensemble思想(上)

形象 alt fill data stat cli views LV 元素 從上面幾篇的決策樹開始,就能夠開始進入到集成學習(ensemble learning)了,