hive hook限制grant权限-低调大师

hive hook限制grant权限

2017-11-13 537

hive中有个比较严重的bug，默认情况下任何用户都可以运行grant命令来做授权操作

在Driver.compile方法中，可以增加对AST的hook(hive可以有很多hook，后面分析hive hook的类型和使用阶段)，用来做一些forbidden的操作：

compile相关的内容如下：

 
          BaseSemanticAnalyzer sem = SemanticAnalyzerFactory.get( conf, tree); 
         
          List<HiveSemanticAnalyzerHook> saHooks = 
         
          getHooks(HiveConf.ConfVars.SEMANTIC_ANALYZER_HOOK, 
         
          HiveSemanticAnalyzerHook. 
          class
          );  
          // 获取hive.semantic.analyzer.hook的设置，可以是多项，中间以逗号分隔 
         
          // Do semantic analysis and plan generation 
         
          if 
          (saHooks != 
          null
          ) { 
         
          HiveSemanticAnalyzerHookContext hookCtx = 
          new 
          HiveSemanticAnalyzerHookContextImpl(); 
         
          hookCtx.setConf( conf); 
         
          hookCtx.setUserName( userName); 
         
          for 
          (HiveSemanticAnalyzerHook hook : saHooks) { 
         
          tree = hook.preAnalyze(hookCtx, tree); 
         
          } 
         
          sem.analyze(tree, ctx); 
         
          hookCtx.update(sem); 
         
          for 
          (HiveSemanticAnalyzerHook hook : saHooks) { 
         
          hook.postAnalyze(hookCtx, sem.getRootTasks()); 
         
          } 
         
          } 
          else 
          { 
         
          sem.analyze(tree, ctx); 
         
          }

即，compile阶段通过获取hive.semantic.analyzer.hook的设置，来获取对应的hook方法，然后逐一应用到ast中。

具体的代码如下：

 
          import 
          org.apache.hadoop.hive.ql.parse.ASTNode; 
         
          import 
          org.apache.hadoop.hive.ql.parse.AbstractSemanticAnalyzerHook; 
         
          import 
          org.apache.hadoop.hive.ql.parse.HiveParser; 
         
          import 
          org.apache.hadoop.hive.ql.parse.HiveSemanticAnalyzerHookContext; 
         
          import 
          org.apache.hadoop.hive.ql.parse.SemanticException; 
         
          import 
          org.apache.hadoop.hive.ql.session.SessionState; 
         
          public 
          class 
          MyAuthHook 
          extends 
          AbstractSemanticAnalyzerHook { 
         
          private 
          static 
          String admin = "hdfs; 
         
          @Override 
         
          public 
          ASTNode preAnalyze(HiveSemanticAnalyzerHookContext context, 
         
          ASTNode ast) 
          throws 
          SemanticException { 
         
          switch 
          (ast.getToken().getType()) { 
         
          case 
          HiveParser.TOK_CREATEDATABASE: 
         
          case 
          HiveParser.TOK_DROPDATABASE: 
         
          case 
          HiveParser.TOK_CREATEROLE: 
         
          case 
          HiveParser.TOK_DROPROLE: 
         
          case 
          HiveParser.TOK_GRANT: 
         
          case 
          HiveParser.TOK_REVOKE: 
         
          case 
          HiveParser.TOK_GRANT_ROLE: 
         
          case 
          HiveParser.TOK_REVOKE_ROLE: 
         
          String userName = 
          null
          ; 
         
          if 
          (SessionState.get() != 
          null 
         
          && SessionState.get().getAuthenticator() != 
          null
          ) { 
         
          userName = SessionState.get().getAuthenticator().getUserName(); 
         
          } 
         
          if 
          (!admin.equalsIgnoreCase(userName)) { 
         
          throw 
          new 
          SemanticException(userName 
         
          + 
          " can't use ADMIN options, except " 
          + admin + 
          "."
          ); 
         
          } 
         
          break
          ; 
         
          default
          : 
         
          break
          ; 
         
          } 
         
          return 
          ast; 
         
          } 
         
          }

测试一般用户的grant命令：

 
          FAILED: SemanticException User:ericni isn't ADMIN, please ask 
          for 
          hdfs. 
         
          14
          /
          12
          /
          04 
          16
          :
          24
          :
          41 
          ERROR ql.Driver: FAILED: SemanticException User:ericni isn't ADMIN, please ask 
          for 
          hdfs. 
         
          org.apache.hadoop.hive.ql.parse.SemanticException: User:ericni isn't ADMIN, please ask 
          for 
          hdfs. 
         
          at com.vipshop.hive.plugin.AuthHook.preAnalyze(AuthHook.java:
          44
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.compile(Driver.java:
          433
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.compile(Driver.java:
          329
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.compileInternal(Driver.java:
          1002
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.runInternal(Driver.java:
          1075
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.run(Driver.java:
          934
          ) 
         
          at org.apache.hadoop.hive.ql.Driver.run(Driver.java:
          921
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.processLocalCmd(CliDriver.java:
          281
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.processCmd(CliDriver.java:
          227
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.processLine(CliDriver.java:
          442
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.executeDriver(CliDriver.java:
          860
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.run(CliDriver.java:
          733
          ) 
         
          at org.apache.hadoop.hive.cli.CliDriver.main(CliDriver.java:
          666
          ) 
         
          at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) 
         
          at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:
          39
          ) 
         
          at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:
          25
          ) 
         
          at java.lang.reflect.Method.invoke(Method.java:
          597
          ) 
         
          at org.apache.hadoop.util.RunJar.main(RunJar.java:
          208
          )

本文转自菜菜光 51CTO博客，原文链接：http://blog.51cto.com/caiguangguang/1587253，如需转载请自行联系原作者

微信关注我们

原文链接：https://yq.aliyun.com/articles/434353

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

实现hive proxy4-scratch目录权限问题解决

hive在hdfs中的job中间文件是根据当前登陆用户产生的，其默认值为/tmp/hive-${user.name}，这就导致实现proxy的功能时会遇到临时文件的权限问题，比如在实现了proxy功能后，以超级用户hdfs proxy到普通用户user时，在hdfs中的临时文件在/tmp/hive-user目录中，而目录的属主是hdfs,这时再以普通用户user运行job时，对这个目录就会有权限问题，下面说下这里proxy的实现和解决权限问题的方法： 1.实现proxy功能更改org.apache.hadoop.hive.ql.Context类的构造方法： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 public Context(Configurationconf,StringexecutionId){ this .conf=conf; this .executionId=executionId; if (HiveConf.getBoolVar(conf,HiveConf.ConfVars.HIVE_USE_CUS...

2017-11-14

621

目前的hive版本是支持authentication和authorization的（再加上计费就是3A了，哈哈）, 在hive的java.org.apache.hadoop.hive.conf.HiveConf类中定义的权限相关的设置项有: HIVE_AUTHORIZATION_ENABLED("hive.security.authorization.enabled",false),//是否开启权限验证 HIVE_AUTHORIZATION_MANAGER("hive.security.authorization.manager", "org.apache.hadoop.hive.ql.security.authorization.DefaultHiveAuthorizationProvider"),//默认的授权实现类 HIVE_AUTHENTICATOR_MANAGER("hive.security.authenticator.manager",//默认的认证实现类 "org.apache.hadoop.hive.ql.security.HadoopDefaultAuthentic...

2017-11-14

455

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。