概要描述
hdfs的 50070/jmx 和yarn的8088/jmx 会被扫出 JMX未授权访问的漏洞, 本文章针对这个漏洞进行修复说明
详细说明
1. 在HDFS,YARN开启安全的情况下
manager 9.4之前:
在manager 节点 修改 /var/lib/transwarp-manager/master/content/meta/services/HDFS/transwarp-《对应版本,例如6.2.2》-final/templates/core-site.xml.ftl 这个文件里面 hadoop.http.authentication.simple.anonymous.allowed的值 设置为false, 如图修改
manager 9.4以后:
找到
运维诊断>工具箱>应用元信息编辑器>服务>HDFS>transwarp-《对应版本,例如6.2.2》-final>templates>core-site.xml.ftl, 如图修改, 并保存
2. 重启manager
systemctl resatrt transwarp-manager3. 配置服务 再 重启 hdfs、yarn
最小化重启:
重启hdfs 的namenode 角色
重启yarn的resourcemanager 角色
标准化重启, 如图
4. 验证
页面访问已经是401:
添加user.name后可以正常访问:
其他信息
做完以上调整后虽然可以避免hadoop组件的JMX未授权访问漏洞问题,但是会导致aquila无法获取到服务的JMX信息,需要同步做以下调整
1.hdfs修改模板文件
1.1 在manager 节点 修改 /var/lib/transwarp-manager/master/content/meta/services/HDFS/transwarp-《对应版本,例如6.2.2》-final/ops/templates/hdfs-namenode-HttpJson.yml.ftl,
搜索关键词 name_node_last_young_gc_duration_source和name_node_last_old_gc_duration_source, 添加 &user.name=xxx
修改如图位置
1.2 修改` /var/lib/transwarp-manager/master/content/meta/services/HDFS/transwarp-《对应版本,例如6.2.2》-final/ops/templates/hdfs-datanode-HttpJson.yml.ftl,
搜索关键词 data_node_activity_source和data_node_usage_source, 添加 &user.name=xxx
2.yarn 修改模板文件
在manager 节点 修改 /var/lib/transwarp-manager/master/content/meta/services/YARN/transwarp-《对应版本,例如6.2.2》-final/ops/templates/yarn-resource-manager-HttpJson.yml.ftl,
搜索关键词resource_manager_cluster_metrics_source、
resource_manager_queue_metrics_source和
resource_manager_jvm_metrics_source, 添加 &user.name=yarn
3. 对hdfs和yarn 配置服务
配置对应服务,再初始化aquila运维配置就可以了