CentOS HDFS权限设置与配置要点

一、权限模型与核心配置

1. 权限模型
   采用POSIX风格的UGO（用户、组、其他）权限模型，支持rwx权限设置，权限继承自父目录。
2. 配置文件关键参数
   • core-site.xml：配置HDFS基础参数，如hadoop.proxyuser控制代理用户权限。
   • hdfs-site.xml：
     • dfs.permissions.enabled=true：启用权限校验。
     • dfs.namenode.acls.enabled=true：启用ACL细粒度权限控制。

二、用户与组管理

1. 创建用户和组

   sudo useradd -r -m hdfsuser  # 创建系统用户  
   sudo groupadd hadoopgroup   # 创建用户组  
   sudo usermod -aG hadoopgroup hdfsuser  # 添加用户到组  
   

2. 设置文件/目录所有者

   hdfs dfs -chown hdfsuser:hadoopgroup /path/to/file  # 修改所有者和组  
   

三、权限设置命令

1. 基础权限设置
   • 修改权限：hdfs dfs -chmod 755 /path（755表示rwxr-xr-x）。
   • 递归修改目录权限：hdfs dfs -chmod -R 755 /path。
2. ACL细粒度控制
   • 添加ACL规则：hdfs dfs -setfacl -m user:username:rwx /path。
   • 查看ACL：hdfs dfs -getfacl /path。

四、安全增强配置

1. 超级用户设置
   • 默认超级用户为启动NameNode的用户，可通过dfs.permissions.superusergroup指定超级用户组。
2. Kerberos认证集成
   • 配置Kerberos后，用户需通过票据认证访问HDFS，提升安全性。
3. 权限继承与umask
   • 通过fs.permissions.umask-mode设置新建文件/目录的默认权限掩码（如022对应文件权限644）。

五、验证与维护

1. 权限验证

   hdfs dfs -ls /path  # 查看权限和所有者  
   hdfs dfs -cat /path/to/file  # 测试文件访问权限  
   

2. 日志监控
   定期检查HDFS日志（如hadoop-hdfs-namenode-*.log），确保权限策略生效。

六、注意事项

• 安全模式：配置后需重启HDFS服务，确保权限生效。
• 权限冲突：ACL规则优先于基础权限，避免冗余配置导致冲突。
• 生产环境建议：对敏感目录（如/user）设置粘性位（chmod 1777），防止误删除。

参考来源：