This document outlines an agenda for a presentation on Hadoop security. The agenda includes an overview of Hadoop, concepts of Hadoop security, Kerberos, Hadoop security design, and how to implement Hadoop security. The presenter is introduced as the lead of big data platform development at Gruter Inc. and an Apache Tajo committer.

2. 하둡

3. 보안

5.
어떻게

6. 해야

7. 할까?

8.
정재화

9. 책임

10.
Gruter

11. Inc

13. About

14. me

15.
•

16. Bigdata

17. Platform,

21. Gruter

22. Inc

23. (http://www.gruter.com)

24.
•

25. Apache

26. Tajo

27. Committer

28.
•

29. jhjung@gruter.com

30.
•

31. http://blrunner.com

32.
•

33. 저서:

34. 시작하세요!하둡

35. 프로그래밍

37. AGENDA

38.
1.

39. Hadoop

40. Overview

42.
2.

43. Hadoop

44. Security

45. Concept

47.
3.

48. Kerberos

50.
4.

51. Hadoop

52. Security

53. Design

55.
5.

56. HOW

57. TO

60. 1.

61. Hadoop

62. Overview

64. 1.1

65. 하둡이란?

66.
MapReduce

67.
(Distributed

68. computation)

69.
HDFS

70.
(Distributed

71. storage)

72.
출처:

73. http://www.quuxlabs.com/wp-content/uploads/2010/08/Yahoo-hadoop-cluster_OSCON_20
07.jpg

75. 1.1

76. 하둡이란?

77.
OLTP,

78. ERP,

79.
CRM

80.
Document,

81.
E-mail

82.
Web

83. Log,Cli
ck

84. Stream

85.
Social

86. Netw
orks

87.
Sensor

88. Data

89.
Geo-locatio
n

90. Data

92. 1.2

93. 기존

94. 방식의

95. 문제점

96.
Identity

97.
클라이언트

98. 어플리케이션을

99. 실행하는

100. OS

101. 계정

103.
[hadoop@grute`r01~]$

104. whoami

105.
hadoop

106.
[hadoop@gruter01~]$

107. id

108.
uid=508(hadoop)

109. gid=508(hadoop)

110. groups=508(hadoop)

111.
Authorization

112.
MR

113. ACL,

114. HDFS

115. Permission

117. 1.2

118. 기존

119. 방식의

120. 문제점

121.
Simple

122. Mode

123.
No

124. Authentication

125. (core-site.xml)

127.
property

130. namehadoop.security.authentication/name

133. valuesimple/value

136. descriptionPossible

137. values

142. are

143. simple

144. (no

145. authentication),

146. and

147. kerberos

150. /description

151.
/property

153. 1.2

154. 기존

155. 방식의

156. 문제점

157.
•

158. Examples

159.
[hadoop@localhost

160. hadoop-2.4.0]$

161. ./bin/hdfs

162. dfs

163. -copyT
oLocal

164. /user/hadoop/crm/user

165. /backup/crm/user

167.
[hadoop@localhost

168. hadoop-2.4.0]$

169. ./bin/hdfs

170. dfs

171. -rm

172. -r

173. /
user/hadoop

175.
[mapreduce@localhost

176. hadoop-2.4.0]$

177. ./bin/hadoop

178. jar

179.
Xyz.jar

180. mypackage.Attack

182. 2.

183. Hadoop

184. Security

185. Con
cept

187. 2.1

188. Hadoop

189. Security

190. Definition

191.
Security

192. in

193. Apache

194. Hadoop

195. is

196. defined

197. by

198. four

199. key

200.
pillars:

201. authentication,

202. authorization,

203. accountabili
ty,

204. and

205. data

206. protection.

209.
-

210. 2014

211. HadoopSummit:

212. Vinay

213. Shukla

214. -

216. 2.2

217. Hadoop

218. Security

219. Layer

220.
• Simple

221.
Authentication

222. • Kerberos

223.
• MR

224. ACL

225.
• HDF

226. Permission,

227. ACLs

228.
• HBase

229. ACL

230.
Authorization

231.
• All

232. service

233.
Auditing

234.
• Hadoop2

235. wire

236. encryption

237.
Encryption

238. • 3rd

239. party

241. 3.

242. Kerberos

244. 3.1

245. 커버로스란?

246.
-

247. 컴퓨터

248. 네트워크

249. 내에서

250. 서비스

251. 요구를

252. 인증하기

253. 위한

254. 안전한

255.
방법으로,

256. 미국

257. MIT의

258. Athena

259. 프로젝트에서

260. 개발

261.
- 사용자가

262. 인증과정으로부터

263. 암호화된

264. '티켓'을

265. 요청

266. 할

267. 수

268. 있게

269.
해주는데,

270. 이

271. 티켓은

272. 서버에

273. 특정

274. 서비스를

275. 요구하는데

276. 사용될

277. 수

278. 있고,

279. 사용자의

280. 암호는

281. 네트워크를

282. 통할

283. 필요가

284. 없음

285.
-

286. LDAP,

287. 윈도우

288. AD(Active

289. Directory)와

290. 같은

291. 표준

292. 엔터프라이
즈

293. 디렉터리

294. 서비스와

295. 통합

296. 가능

298. 3.2

299. 커버로스

300. 구성요소

301.
구성요소

302. 내용

303.
KDC
키 분배 서버, TGS와 AS 구성
(Key Distribution Center)

304.
모든 사용자와 서비스들의 암호화키를 보유 AS (Authentication Servi
ce)사용자에 대한 인증을 수행

306.
TGS (Ticket Granting Se
rvice)

307.
티켓을 부여하고, 티켓을 분배

308.
티켓(Ticket)

309.
사용자에 대한 신원과 인증을 확인하는 토큰
사용자가 서비스와 통신할 때, 패스워드를 입력하지
않게 함

310.
영역(Realm)

311.
커버로스 시스템에 속해 있는 클라이언트와 서버들의
범위

313. 3.3

314. 커버로스

315. 아키텍처

317.
KDC

320.
AS

324.
TGS

328.
서버

329.
1.인증요청

330.
2.티켓

331. 승인

332. 티켓(TGT)

333.
클라이언트

334.
3.

335. 티켓

336. 승인

337. 티켓

338.
4.

339. 서비스

341. 티켓

342. (TGS)

343.
5.

344. 서비스

345. 티켓

346.
6.

347. 접속

348. 허락

350. 3.3

351. 커버로스

352. 아키텍처

353.
Principal

354.
-

355. 티켓을

356. 할당하기

357. 위한

358. 유니크한

359. 식별자

360.
-

361. 표현

362. 형식

363.
-

364. primary/instance@REALM

365.
-

366. primary:

367. 사용자

368. 혹은

369. 호스트

370.
-

371. instance:

372. primary를

373. 서술,

374. REALM:

375. 커버로스

376. 영역

377.
-

378. ex)

380. tajo/server01.tajo.org@TAJO.ORG

381.
KeyTabs

382.
-

383. KDC에서

384. 부여받은

385. 암호화된

386. 키와

387. Princial로

388. 구성

389.
-

390. KeyTabs의

391. 키는

392. 티켓을

393. 복호화할

394. 때

395. 사용함

398. 4.

399. Hadoop

400. Security

401. Desi
gn

403. 4.1

404. 사용자

405. 서비스

406. 인증

407.
클라이언트

409.
마스터

410. 서버

422.
NameNode

423.
JobTracker

424.
KDC

425. ResourceManager

426.
인증

427. 및

429.
서비스

430. 티켓

431. 요청

432.
커버로스

433.
서비스

434. 티켓

436. 4.2

437. 개별

438. 서비스

439. 인증

441.
마스터

442. 서버

454.
NameNode

455.
JobTracker

456.
ResourceManager

458.
슬레이브서버

470.
DataNode

471.
TaskTracker

472.
NodeManager

473.
커버로스

476.
KeyTab

478. 4.3

479. Delegation

480. Token

485. 슬레이브

486. 서버

498.
마스터

499. 서버

505.
NameNode

506. JobTracker

507. ResourceManager

512.
슬레이브

513. 서버

524.
TaskTracker

525. NodeManager

526.
Task

527. Task

528. Container

529. Container

530.
접속

531.
요청

532.
접속

533.
요청

534.
접속

535.
요청

536.
클라이언트

537.
인증

538. 및

539. 토큰

540. 생성

542. 4.3

543. Delegation

544. Token

545.
-

546. NameNode가

547. 커버로스

548. 인증을

549. 한

550. 클라이언트에게

551. 부여

552.
-

553. 한

554. 번의

555. 접속으로

556. 모든

557. 작업을

558. 수행

559.
-

560. 클라이언트가

561. 맵리듀스잡을

562. 실행할

563. 경우,

564. JobTracker

565. 및

566. Res
ourceManager에게

567. 공유함

568.
-

569. 하나의

570. 맵리듀스잡에

571. 포함된

572. 모든

573. 태스크는

574. 동일한

575. DT를

576. 사
용함,

577. 해당

578. DT로

579. NameNode에

580. 접근

581.
-

582. JobTracker와

583. ResourceManager는

584. DT

585. 연장

586. 가능

587.
-

590. 4.4

591. Job

592. Token

597. 마스터

598. 서버

609.
슬레이브

610. 서버

621.
TaskTracker

622.
Task

623. Task

624.
JobTracker

625.
토큰

626. 공유

631.
슬레이브

632. 서버

643.
TaskTracker

644.
Task

645. Task

646.
클라이언트

647.
MR

648. 실행

649. 및

650.
토큰

651. 생성

652.
토큰

653. 공유

654.
토큰

655. 인증

657. 4.4

658. Job

659. Token

660.
-

661. MR

662. Job

663. 실행이

664. 요청될

665. 때,

666. JobTraker가

667. 생성

668.
-

669. TaskTracker에

670. 공유

671.
-

672. Task가

673. TaskTracker와

674. 통신을

675. 할

676. 때

677. 사용

679. 4.5

680. Block

681. Access

682. Token

687.
슬레이브

688. 서버

695.
DataNode

701.
슬레이브

702. 서버

713.
TaskTracker

714.
Task

715. Task

716.
클라이언트

717.
토큰

718. 인증

719.
NameNode

720.
토큰

721. 인증

722.
토큰

723. 부여

724.
토큰

725. 부여

726.
토큰

727. 부여

729. 4.5

730. Block

731. Access

732. Token

733.
-

734. 인증된

735. 클라이언트의

736. 블록

737. 접근

738. 허용

739.
-

740. 인증된

741. 클라이언트가

742. HDFS의

743. 파일을

744. 접근할

745. 때,

746. NameNode
가

747. 클라이언트에게

748. 부여함

749.
-

750. BAT는

751. DataNode에

752. 공유됨

753.
-

754. 클라이언트(App,

755. Map

757. Reduce

758. Task)가

759. DataNode

760. 블록

761.
접근시

762. 토큰

763. 제출

765. 5.

766. HOWTO

768. 5.1

769. Overview

770.
1.

771. 커버로스

772. 설치

773.
2.

774. Principal

775. 및

776. Keytab

777. 생성

778.
3.

779. Keytab

780. 전체

781. 배포

782.
4.

783. 하둡

784. 클러스트

785. 설정

786.
5.

787. 하둡

788. 클러스터

789. 실행

791. 5.2

792. 커버로스

793. 설치

794.
1)

795. 커버로스

796. 서버

797. 설치

798.
-

799. yum

800. install

801. krb5-server

802. krb5-libs

803. krb5-workstation

804. pam_k
rb5

805.
•

806. /etc/krb5.conf

807.
[logging]

809. default

810. =

811. FILE:/var/log/krb5libs.log

813. kdc

814. =

815. FILE:/var/log/krb5kdc.log

817. admin_server

818. =

819. FILE:/var/log/kadmind.log

821.
[libdefaults]

823. default_realm

824. =

825. TAJO.ORG

827. dns_lookup_realm

828. =

829. false

831. dns_lookup_kdc

832. =

833. false

835. 5.2

836. 커버로스

837. 설치

838.
•

839. /etc/krb5.conf

840.
ticket_lifetime

841. =

842. 24h

844. renew_lifetime

845. =

846. 7d

848. forwardable

849. =

850. true

852.
[realms]

854. TAJO.ORG

855. =

856. {

859. kdc

860. =

861. namenode01

864. admin_server

865. =

866. namenode01

868. }

870.
[domain_realm]

872. .tajo.org

873. =

874. TAJO.ORG

876. tajo.org

877. =

878. TAJO.ORG

880. 5.2

881. 커버로스

882. 설치

883.
•

884. /var/kerberos/krb5kdc/kdc.conf

885.
[kdcdefaults]

887. kdc_ports

888. =

889. 88

891. kdc_tcp_ports

892. =

893. 88

895.
[realms]

897. TAJO.ORG

898. =

899. {

902. profile

903. =

904. /etc/krb5.conf

907. acl_file

908. =

909. /var/kerberos/krb5kdc/kadm5.acl

912. allow-null-ticket-address

913. =

914. true

917. database_name

918. =

919. /var/kerberos/krb5kdc/principal

922. dict_file

923. =

924. /usr/share/dict/words

927. admin_keytab

928. =

929. /var/kerberos/krb5kdc/kadm5.keytab

931. 5.2

932. 커버로스

933. 설치

934.
•

935. /var/kerberos/krb5kdc/kdc.conf

936.
key_stash_file

937. =

938. /var/kerberos/krb5kdc/.k5stash

941. kdc_ports

942. =

943. 88

946. kadmind_port

947. =

948. 749

951. max_life

952. =

953. 2d

954. 0h

955. 0m

956. 0s

959. max_renewable_life

960. =

961. 7d

962. 0h

963. 0m

964. 0s

967. supported_enctypes

968. =

969. aes256-cts:normal

970. aes128-cts:normal

971. des3
-hmac-sha1:normal

972. arcfour-hmac:normal

973. des-hmac-sha1:normal

974. d
es-cbc-md5:normal

975. des-cbc-crc:normal

977. }

979. 5.2

980. 커버로스

981. 설치

982.
2)

983. 커버로스

984. 데이터베이스

985. 설치

986.
-

987. kdb5_util

988. create

989. -r

990. TAJO.ORG

991. -s

992.
Loading

993. random

994. data

995.
Initializing

996. database

997. '/var/kerberos/krb5kdc/principal'

998. for

999. realm

1000. 'TA
JO.ORG',

1001.
master

1002. key

1003. name

1004. 'K/M@TAJO.ORG'

1005.
You

1006. will

1007. be

1008. prompted

1009. for

1010. the

1011. database

1012. Master

1013. Password.

1014.
It

1015. is

1016. important

1017. that

1018. you

1019. NOT

1020. FORGET

1021. this

1022. password.

1023.
Enter

1024. KDC

1025. database

1026. master

1027. key:

1029.
Re-enter

1030. KDC

1031. database

1032. master

1033. key

1034. to

1035. verify:

1038. 5.2

1039. 커버로스

1040. 설치

1041.
ls

1042. ­–al

1043. /var/kerberos/krb5kdc/

1044.
-rw-------.

1045. 1

1046. root

1047. root

1050. 69

1051. 2014-09-27

1052. 21:17

1053. .k5stash

1054.
-rw-------.

1055. 1

1056. root

1057. root

1060. 22

1061. 2014-03-28

1062. 03:36

1063. kadm5.acl

1064.
-rw-r--r--.

1065. 1

1066. root

1067. root

1069. 727

1070. 2014-09-27

1071. 20:29

1072. kdc.conf

1073.
-rw-------.

1074. 1

1075. root

1076. root

1077. 8192

1078. 2014-09-27

1079. 21:17

1080. principal

1081.
-rw-------.

1082. 1

1083. root

1084. root

1085. 8192

1086. 2014-09-27

1087. 21:17

1088. principal.kadm5

1089.
-rw-------.

1090. 1

1091. root

1092. root

1096. 0

1097. 2014-09-27

1098. 21:17

1099. principal.kadm5.lock

1100.
-rw-------.

1101. 1

1102. root

1103. root

1107. 0

1108. 2014-09-27

1109. 21:18

1110. principal.ok

1112. 5.2

1113. 커버로스

1114. 설치

1115.
3)

1116. ACL

1117. 변경

1118.
•

1119. /var/kerberos/krb5kdc/kadm5.acl

1120.
*/admin@TAJO.ORG

1121. *

1122.
4)

1123. 커버로스

1124. 서버

1125. 구동

1126.
-

1127. service

1128. kadmin

1129. start

1130.
-

1131. service

1132. krb5kdc

1133. start

1134.
-

1135. chkconfig

1136. krb5kdc

1137. on

1138.
-

1139. chkconfig

1140. kadmin

1141. on

1143. 5.2

1144. 커버로스

1145. 설치

1146.
5)

1147. SSH

1148. 설정

1149. 변경

1150.
-

1151. authconfig-tui

1153. 5.2

1154. 커버로스

1155. 설치

1156.
-

1157. /usr/sbin/authconfig

1158. --update

1159. --enablekrb5

1160. --krb5kdc=na
menode01

1161. --krb5realm=TAJO.ORG

1162.
-

1163. /etc/ssh/sshd_config

1164. 변경

1166.
PasswordAuthentication

1167. no

1168.
KerberosAuthentication

1169. yes

1171.
KerberosOrLocalPasswd

1172. no

1174.
KerberosTicketCleanup

1175. yes

1176.
GSSAPIAuthentication

1177. yes

1178.
GSSAPICleanupCredentials

1179. yes

1180.
GSSAPIKeyExchange

1181. yes

1183.
UsePAM

1184. yes

1186.
-

1188. service

1189. sshd

1190. restart

1192. 5.2

1193. 커버로스

1194. 설치

1195.
6)

1196. 방화벽

1197. 정책

1198. 추가

1199.
-

1201. iptables

1202. -I

1203. INPUT

1204. -m

1205. state

1206. --state

1207. NEW

1208. -m

1209. tcp

1210. -p

1211. tcp

1212. --dp
ort

1213. 88

1214. -j

1215. ACCEPT

1216.
-

1217. iptables

1218. -I

1219. INPUT

1220. -m

1221. state

1222. --state

1223. NEW

1224. -m

1225. udp

1226. -p

1227. udp

1228. --d
port

1229. 88

1230. -j

1231. ACCEPT

1232.
-

1233. iptables

1234. -I

1235. INPUT

1236. -m

1237. state

1238. --state

1239. NEW

1240. -m

1241. tcp

1242. -p

1243. tcp

1244. --dp
ort

1245. 749

1246. -j

1247. ACCEPT

1248.
-

1249. service

1250. iptables

1251. save

1252.
-

1255. 5.3

1256. 커버로스

1257. 코맨드

1258.
구성요소

1259. 내용

1260.
kadmin

1261.
원격의 커버로스 데이터베이스에 접속하여 principal
및 keytab을 관리함. 원격 접속 가능

1262.
kadmin.local

1263.
로컬 커버로스 데이터베이스에 접속하여 principal
및 keytab을 관리함

1264.
klist

1265. 로컬 호스트에 캐시되어 있는 티켓 목록 출력

1266.
kinit

1267. 커버로스

1268. 로그인

1269. 수행

1270.
kdestroy

1271. 로컬

1272. 티켓

1273. 캐시

1274. 삭제

1275.
kpasswd

1276. 커버로스

1277. 패스워드

1278. 변경

1280. 5.4

1281. principal

1282. 및

1283. keytab

1284. 생성

1285.
1)

1286. 쉘

1287. 스크립트

1288. 작성

1289.
•

1290. /usr/local/kerberos/slaves

1291.
namenode01

1292.
datanode01

1293.
•

1294. /usr/local/kerberos/make_keytab.sh

1295.
#!/bin/sh

1297.
realm=TAJO.ORG

1299.
for

1300. slave

1301. in

1302. $(cat

1303. slaves);

1304. do

1307. echo

1308. ${slave}

1311. install

1312. -o

1313. root

1314. -g

1315. root

1316. -m

1317. 0700

1318. -d

1319. ${slave}

1321. 5.4

1322. principal

1323. 및

1324. keytab

1325. 생성

1326.
•

1327. /usr/local/kerberos/make_keytab.sh

1328.
kadmin.local

1329. EOF

1330.
addprinc

1331. -randkey

1332. host/${slave}@${realm}

1333.
addprinc

1334. -randkey

1335. hadoop/${slave}@${realm}

1336.
ktadd

1337. -k

1338. ${slave}/hadoop.keytab

1339. -norandkey

1341.
hadoop/${slave}@${realm}

1342. host/${slave}@${realm}

1343.
EOF

1344.
done

1345.
-

1346. 스크립스

1347. 실행:

1348. ./make_keytab.sh

1349.
-

1350. 호스트명

1351. 디렉토리의

1352. 파일을

1353. 해당

1354. 호스트로

1355. 복사

1357.
à

1358. scp,

1359. rsync,

1360. pssh

1361. 등

1362. 이용

1364. 5.5

1365. keytab

1366. 배포

1367.
1)

1368. 배포

1369.
-

1370. 생성된

1371. hadoop.keytab

1372. 파일을

1373. scp,

1374. rsync

1375. 등으로

1376. 배포

1377.
-

1378. 각

1379. 서버의

1380. /home/hadoop/hadoop-2.5.1/etc/hadoop/secu
rity

1381. 디렉터리에

1382. 복사

1383.
- -

1384. 배포

1385. 스크립트를

1386. 만들어서

1387. 배포할

1388. 것

1389.
2)

1390. Keytab

1391. 파일

1392. 권한

1393. 변경

1394.
-

1395. chmod

1396. 400

1397. hadoop.keytab

1399. 5.6

1400. 하둡

1401. 클러스터

1402. 설정

1403.
1)

1404. hadoop-env.sh

1405.
export

1406. JSVC_HOME=/usr/bin

1407.
à 기존에

1408. 설치된

1409. jsvc가

1410. 없을

1411. 경우

1412. yum

1413. jsvc로

1414. 설치

1415.
export

1416. HADOOP_SECURE_DN_USER=hadoop

1417.
export

1418. HADOOP_SECURE_DN_PID_DIR

1419. =/home/hadoop/pids/secure

1420.
export

1421. HADOOP_SECURE_DN_LOG_DIR=/home/hadoop/hadoop-2.
5.1/logs/secure

1423. 5.6

1424. 하둡

1425. 클러스터

1426. 설정

1427.
2)

1428. core-site.xml

1429.
property

1432. namehadoop.security.authorization/name

1435. valuetrue/value

1436.
/property

1438.
property

1441. namehadoop.security.authentication/name

1444. valuekerberos/value

1445.
/property

1447. 5.6

1448. 하둡

1449. 클러스터

1450. 설정

1451.
3)

1452. hdfs-site.xml

1453.
property

1456. namedfs.permissions/name

1459. valuetrue/value

1460.
/property

1462.
property

1465. namedfs.block.access.token.enable/name

1468. valuetrue/value

1469.
/property

1471.
property

1474. namedfs.namenode.keytab.file/name

1477. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoo
p.keytab/value

1478.
/property

1480. 5.6

1481. 하둡

1482. 클러스터

1483. 설정

1484.
property

1487. namedfs.namenode.kerberos.principal/name

1490. valuehadoop/_HOST@TAJO.ORG/value

1491.
/property

1493.
property

1496. namedfs.namenode.kerberos.internal.spnego.principal/name

1499. value${dfs.web.authentication.kerberos.principal}/value

1500.
/property

1502.
property

1505. namedfs.secondary.namenode.kerberos.internal.spnego.princi
pal/name

1508. value${dfs.web.authentication.kerberos.principal}/value

1509.
/property

1511. 5.6

1512. 하둡

1513. 클러스터

1514. 설정

1515.
property

1518. namedfs.datanode.keytab.file/name

1521. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoo
p.keytab/value

1522.
/property

1524.
property

1527. namedfs.datanode.kerberos.principal/name

1530. valuehadoop/_HOST@TAJO.ORG/value

1531.
/property

1533.
property

1536. namedfs.datanode.kerberos.https.principal/name

1539. valuehadoop/_HOST@TAJO.ORG/value

1540.
/property

1542. 5.6

1543. 하둡

1544. 클러스터

1545. 설정

1546.
property

1549. namedfs.datanode.data.dir.perm/name

1552. value700/value

1553.
/property

1555.
property

1558. namedfs.datanode.address/name

1561. value0.0.0.0:1004/value

1562.
/property

1564.
property

1567. namedfs.datanode.http.address/name

1570. value0.0.0.0:1006/value

1571.
/property

1573. 5.6

1574. 하둡

1575. 클러스터

1576. 설정

1577.
property

1580. namedfs.secondary.namenode.keytab.file/name

1583. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoo
p.keytab/value

1584.
/property

1586.
property

1589. namedfs.secondary.namenode.keytab.file/name

1592. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoo
p.keytab/value

1593.
/property

1595. 5.6

1596. 하둡

1597. 클러스터

1598. 설정

1599.
property

1602. namedfs.web.authentication.kerberos.principal/name

1605. valuehadoop/_HOST@TAJO.ORG/value

1606.
/property

1608.
property

1611. namedfs.namenode.kerberos.internal.spnego.principal/name

1614. value${dfs.web.authentication.kerberos.principal}/value

1615.
/property

1617.
property

1620. namedfs.secondary.namenode.kerberos.internal.spnego.princi
pal/name

1623. value${dfs.web.authentication.kerberos.principal}/value

1624.
/property

1626. 5.6

1627. 하둡

1628. 클러스터

1629. 설정

1630.
4)

1631. yarn-site.xml

1632.
property

1635. nameyarn.resourcemanager.keytab/name

1638. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoo
p.keytab/value

1639.
/property

1641.
property

1644. nameyarn.resourcemanager.principal/name

1647. valuehadoop/_HOST@TAJO.ORG/value

1648.
/property

1650. 5.6

1651. 하둡

1652. 클러스터

1653. 설정

1654.
property

1657. nameyarn.nodemanager.keytab/name

1660. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoop.k
eytab/value

1661.
/property

1663.
property

1666. nameyarn.nodemanager.principal/name

1669. valuehadoop/_HOST@TAJO.ORG/value

1670.
/property

1672.
property

1675. nameyarn.nodemanager.container-executor.class/name

1676.
valueorg.apache.hadoop.yarn.server.nodemanager.LinuxContainer
Executor/value

1677.
/property

1679. 5.6

1680. 하둡

1681. 클러스터

1682. 설정

1684.
property

1685.
namemapreduce.jobhistory.keytab/name

1687. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoop.k
eytab/value

1688.
/property

1690.
property

1693. namemapreduce.jobhistory.principal/name

1695. valuehadoop/_HOST@TAJO.ORG/value

1696.
/property

1698.
property

1701. nameyarn.nodemanager.linux-container-executor.group/name

1704. valuehadoop/value

1705.
/property

1708. 5.6

1709. 하둡

1710. 클러스터

1711. 설정

1712.
5)

1713. mapred-site.xml

1714.
property

1717. namemapreduce.jobtracker.kerberos.principal/name

1719. valuehadoop/_HOST@TAJO.ORG/value

1720.
/property

1721.
property

1724. namemapreduce.jobtracker.keytab.file/name

1726. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoop
.keytab/value

1727.
/property

1729.
property

1732. namemapreduce.tasktracker.kerberos.principal/name

1734. valuehadoop/_HOST@TAJO.ORG/value

1735.
/property

1737. 5.6

1738. 하둡

1739. 클러스터

1740. 설정

1741.
property

1744. namemapreduce.tasktracker.keytab.file/name

1746. value/home/hadoop/hadoop-2.5.1/etc/hadoop/security/hadoop
.keytab/value

1747.
/property

1749.
property

1752. namemapred.task.tracker.task-controller/name

1755. valueorg.apache.hadoop.mapred.LinuxTaskController/value

1756.
/property

1758.
property

1761. namemapreduce.tasktracker.group/name

1764. valuehadoop/value

1765.
/property

1767. 5.6

1768. 하둡

1769. 클러스터

1770. 설정

1771.
6)

1772. 하둡

1773. 컴파일

1774.
-

1775. cd

1776. /home/hadoop/hadoop-2.5.1-src/hadoop-yarn-project/hadoop-yarn/had
oop-yarn-server/hadoop-yarn-server-nodemanager

1777.
-

1778. mvn

1779. package

1780. -Dcontainer-executor.conf.dir=/usr/local/yarn_conf/

1781. -DskipTest
s

1782. ­–Pnative

1783.
-

1784. cp

1785. target/native/target/usr/local/bin/*

1786. /home/hadoop/hadoop-2.5.1/bin/

1787.
-

1788. cd

1789. /home/hadoop/hadoop-2.5.1/bin

1790.
-

1791. sudo

1792. chmod

1793. 6050

1794. container-executor

1795.
-

1796. sudo

1797. chown

1798. root:hadoop

1799. container-executor

1801. 5.6

1802. 하둡

1803. 클러스터

1804. 설정

1805.
7)

1806. container-executor.cnf

1807. 설정

1808.
-

1809. root

1810. 로

1811. 작업

1812. 진행

1813.
-

1814. mkdir

1815. /usr/local/yarn_conf

1816.
-

1817. cd

1818. /usr/local/yarn_conf

1819.
-

1820. vi

1821. container-executor.cfg

1822.
#yarn.nodemanager.local-dirs=/tmp/yarn/local

1823.
#yarn.nodemanager.log-dirs=/tmp/yarn/logs

1824.
yarn.nodemanager.linux-container-executor.group=hadoop

1825.
#banned.users=

1826.
min.user.id=500

1827.
#allowed.system.users=

1829.
-

1830. chmod

1831. 400

1832. container-executor.cfg

1834. 5.7

1835. 하둡

1836. 클러스터

1837. 실행

1838.
1)

1839. NameNode

1840.
-

1841. sbin/hadoop-daemon.sh

1842. start

1843. namenode

1845.
2)

1846. DataNode

1847.
-

1848. sudo

1849. sbin/hadoop-daemon.sh

1850. start

1851. datanode

1853.
•

1854. visudo

1855.
##

1856. Allow

1857. root

1858. to

1859. run

1860. any

1861. commands

1862. anywhere

1863.
root

1867. ALL=(ALL)

1874. ALL

1875.
hadoop

1876. ALL=(ALL)

1877. ALL

1879. 5.7

1880. 하둡

1881. 클러스터

1882. 실행

1883.
3)

1884. 리소스

1885. 매니저

1886.
-

1887. sbin/yarn-daemon.sh

1888. start

1889. resourcemanager

1891.
4)

1892. 노드

1893. 매니저

1894.
-

1895. sbin/yarn-daemon.sh

1896. start

1897. nodemanager

1898.
5)

1899. 잡

1900. 히스토리

1901. 서버

1902.
-

1903. sbin/mr-jobhistory-daemon.sh

1904. start

1905. historyserver

1907. 5.7

1908. Trouble

1909. Shooting

1910.
1)

1911. 커버로스

1912. 설치

1913.
-

1914. 기존에

1915. 설치된

1916. 커버로스를

1917. 함부로

1918. 삭제하지

1919. 말

1920. 것

1921.
-

1922. python-krbV-1.0.90-3.el6.x86_64

1925. [root@namenode01

1926. local]#

1927. wget

1928.
wget:

1929. error

1930. while

1931. loading

1932. shared

1933. libraries:

1934. libgssapi_krb5.so.2:

1935. can
not

1936. open

1937. shared

1938. object

1939. file:

1940. No

1941. such

1942. file

1943. or

1944. directory

1946.
[root@namenode01

1947. lib]#

1948. yum

1949. clean

1950. all

1951.
There

1952. was

1953. a

1954. problem

1955. importing

1956. one

1957. of

1958. the

1959. Python

1960. modules

1961.
required

1962. to

1963. run

1964. yum.

1965. The

1966. error

1967. leading

1968. to

1969. this

1970. problem

1971. was:

1976. libgssapi_krb5.so.2:

1977. cannot

1978. open

1979. shared

1980. object

1981. file:

1982. No

1983. such

1984. file

1986. 5.7

1987. Trouble

1988. Shooting

1989.
2)

1990. SSH

1991. 버전

1992.
-

1993. SSH

1994. 버전마다

1995. 설정

1996. 파일

1997. 경로

1998. 및

1999. 파일명이

2000. 상이함

2001.
-

2002. SSH1:

2003. /etc/ssh/ssh_config

2004.
-

2005. SSH2:

2006. /etc/ssh/sshd_config

2008.
3)

2009. 커버로스

2010. 버전

2011.
-

2012. 커버로스도

2013. 여러

2014. 배포

2015. 버전이

2016. 존재함

2017.
-

2018. 커버로스

2019. 버전에

2020. 따라서

2021. kadmim,

2022. kadmin.local의

2023. 지원

2024. 옵션
이

2025. 상이함

2027. 5.7

2028. Trouble

2029. Shooting

2030.
4)

2031. Keytab

2032. 파일에

2033. 이상이

2034. 있을

2035. 경우

2036.
-

2037. 지정된

2038. 위치에

2039. 없거나

2040.
-

2041. 다른

2042. 서버의

2043. Keytab

2044. 파일을

2045. 복사해온

2046. 경우

2047.
java.io.IOException:

2048. Login

2049. failure

2050. for

2051. hadoop/datanode01@TAJO.O
RG

2052. from

2053. keytab

2054. /home/hadoop/hadoop-2.5.1/etc/hadoop/hadoop
.keytab

2056. at

2057. org.apache.hadoop.security.UserGroupInformation.logi
nUserFromKeytab(UserGroupInformation.java:921)

2059. at

2060. org.apache.hadoop.security.SecurityUtil.login(SecurityUt
il.java:242)

2062. at

2063. org.apache.hadoop.security.SecurityUtil.login(SecurityUt
il.java:206)

2065. 5.7

2066. Trouble

2067. Shooting

2068.
5)

2069. DataNode

2070. 구동

2071.
-

2072. 커버로스를

2073. 활성화

2074. 시킨

2075. 경우,

2076. 반드시

2077. root로

2078. 실행

2079.
14/09/28

2080. 06:33:49

2081. INFO

2082. security.UserGroupInformation:

2083. Login

2084. successful

2085. for

2086.
user

2087. hadoop/datanode01@TAJO.ORG

2088. using

2089. keytab

2090. file

2091. /home/hadoop/hadoo
p-2.5.1/etc/hadoop/hadoop.keytab

2092.
14/09/28

2093. 06:33:49

2094. INFO

2095. impl.MetricsConfig:

2096. loaded

2097. properties

2098. from

2099. hadoop-metrics2.
properties

2100.
14/09/28

2101. 06:33:50

2102. INFO

2103. impl.MetricsSystemImpl:

2104. Scheduled

2105. snapshot

2106. period

2107.
at

2108. 10

2109. second(s).

2110.
14/09/28

2111. 06:33:50

2112. INFO

2113. datanode.DataNode:

2114. Configured

2115. hostname

2116. is

2117. datan
ode01

2118.
14/09/28

2119. 06:33:50

2120. FATAL

2121. datanode.DataNode:

2122. Exception

2123. in

2124. secureMain

2125.
java.lang.RuntimeException:

2126. Cannot

2127. start

2128. secure

2129. cluster

2130. without

2131. privileged

2132. res
ources.

2134. at

2135. org.apache.hadoop.hdfs.server.datanode.DataNode.startDataNod
e(DataNode.java:737)

2137. 5.7

2138. Trouble

2139. Shooting

2140.
6)

2141. JSVC

2142. 클래스

2143. 패스

2144. 설정

2145.
-

2146. 클래스

2147. 패스가

2148. 문제

2149. 있는

2150. 경우

2151.
-

2152. JSVC

2153. 버전

2154. 별로,

2155. -cp

2156. 에서

2157. *

2158. 설정이

2159. 적용안

2160. 될

2161. 수

2162. 있음

2163.
28/09/2014

2164. 23:22:00

2165. 3203

2166. jsvc.exec

2167. error:

2168. Cannot

2169. find

2170. daemon

2171. loader

2172. org/a
pache/commons/daemon/support/DaemonLoader

2173.
java.lang.ClassNotFoundException:

2174. org.apache.hadoop.hdfs.server.datanode.
SecureDataNodeStarter

2176. at

2177. java.net.URLClassLoader$1.run(URLClassLoader.java:366)

2179. at

2180. java.net.URLClassLoader$1.run(URLClassLoader.java:355)

2182. 5.7

2183. Trouble

2184. Shooting

2185.
-

2186. bin/hdfs에

2187. 스크립트

2188. 추가

2189. (1/2)

2190.
HADOOP_HOME=/home/hadoop/hadoop-2.5.1

2191.
HADOOP_MODULE_DIRS=$HADOOP_HOME/share/hadoop/com
mon/lib

2192.
$HADOOP_HOME/share/hadoop/common

2193.
$HADOOP_HOME/share/hadoop/hdfs/lib

2194.
$HADOOP_HOME/share/hadoop/hdfs

2195.
$HADOOP_HOME/share/hadoop/yarn/lib

2196.
$HADOOP_HOME/share/hadoop/yarn

2197.
$HADOOP_HOME/share/hadoop/mapreduce/lib

2198.
$HADOOP_HOME/share/hadoop/mapreduce

2204. 5.7

2205. Trouble

2206. Shooting

2207.
-

2208. bin/hdfs에

2209. 스크립트

2210. 추가

2211. (2/2)

2212.
JSVC_CLASSPATH=$HADOOP_HOME/etc/hadoop

2213.
for

2214. d

2215. in

2216. $HADOOP_MODULE_DIRS;

2217. do

2221. for

2222. f

2223. in

2224. $d/*;

2225. do

2230. JSVC_CLASSPATH=${JSVC_CLASSPATH}:$f;

2233. done

2234.
done;

2236.
exec

2237. $JSVC

2250. -Dproc_$COMMAND

2251. -outfile

2252. $JSVC_OUTFILE

2265. -errfile

2266. $JSVC_ERRFILE

2279. -pidfile

2280. $HADOOP_SECURE_DN_PID

2293. -nodetach

2306. -user

2307. $HADOOP_SECURE_DN_USER

2320. -cp

2321. $JSVC_CLASSPATH

2325. 5.7

2326. Trouble

2327. Shooting

2328.
7)

2329. DataNode의

2330. 소유자는?

2331.
-

2332. sudo로

2333. 실행했더라도,

2334. hadoop으로

2335. 소유자가

2336. 변경됨

2337.
-

2338. hadoop

2339. 계정으로

2340. jps,

2341. kill,

2342. hadoop-deamon.sh

2343. stop

2344. 모두

2345. 적
용

2346. 가능

2347.
8)

2348. SSH

2349. 인증키

2350. 복사는?

2351.
-

2352. 기존대로

2353. 마스터

2354. 서버의

2355. SSH

2356. 인증키를

2357. 슬레이브

2358. 서버에

2359. 복사

2360.
à

2361. 데몬

2362. 제어는

2363. 여전히

2364. SSH

2365. 프로토콜

2367. 5.7

2368. Trouble

2369. Shooting

2370.
8)

2371. AES-256

2372. 알고리즘

2373. 이슈

2374.
- kdc.conf에서

2375. aes-256을

2376. 삭제하거나,

2377. 암호화

2378. 파일을

2379. 모든

2380. 서버
에

2381. 설치

2382. à

2383. $JAVA_HOME/jre/lib/security

2384.
2014-09-29

2385. 02:51:11,641

2386. WARN

2387. SecurityLogger.org.apache.ha
doop.ipc.Server:

2388. Auth

2389. failed

2390. for

2391. 192.168.56.101:60399:null

2392. (GS
S

2393. initiate

2394. failed)

2395.
2014-09-29

2396. 02:51:11,643

2397. INFO

2398. org.apache.hadoop.ipc.Server:

2399. S
ocket

2400. Reader

2401. #1

2402. for

2403. port

2404. 9010:

2405. readAndProcess

2406. from

2407. client

2408. 192.
168.56.101

2409. threw

2410. exception

2411. [javax.security.sasl.SaslException:

2412. G
SS

2413. initiate

2414. failed

2415. [Caused

2416. by

2417. GSSException:

2418. Failure

2419. unspecified

2420. at

2421.
GSS-API

2422. level

2423. (Mechanism

2424. level:

2425. Encryption

2426. type

2427. AES256

2428. CTS

2429. mo
de

2430. with

2431. HMAC

2432. SHA1-96

2433. is

2434. not

2435. supported/enabled)]]

2437. 5.7

2438. Trouble

2439. Shooting

2440.
9)

2441. TaskTracker

2442. 로컬

2443. 디렉터리

2444. 생성

2445. 실패

2447.
-

2448. mapred-site.xml의

2449. mapred.local.dir와

2450. taskcontroller.cfg의

2451. yarn.nodemanager.local-dirs이

2452. 일치하지

2453. 않을

2454. 때

2455. 발생

2457.
INFO

2458. mapred.TaskController:

2459. Failed

2460. to

2461. create

2462. directory

2463. /var/log/hadoop/cache/
mapred/mapred/local1/taskTracker/atm

2464. -

2465. No

2466. such

2467. file

2468. or

2469. directory

2470.
11/08/17

2471. 14:44:06

2472. WARN

2473. mapred.TaskTracker:

2474. Exception

2475. while

2476. localization

2477. jav
a.io.IOException:

2478. Job

2479. initialization

2480. failed

2481. (20)

2490. at

2491. org.apache.hadoop.mapred.LinuxTaskController.initializeJob(LinuxTask
Controller.java:191)

2500. at

2501. org.apache.hadoop.mapred.TaskTracker$4.run(TaskTracker.java:1199)

2510. at

2511. java.security.AccessController.doPrivileged(Native

2512. Method)

2521. at

2522. javax.security.auth.Subject.doAs(Subject.java:396)

2524. 5.7

2525. Trouble

2526. Shooting

2527.
10)

2528. TaskTracker

2529. 로그

2530. 디렉터리

2531. 생성

2532. 실패

2534.
-

2535. mapred-site.xml의

2536. mapred.local.dir와

2537. taskcontroller.cfg의

2538. yarn.nodemanager.local-dirs이

2539. 일치하지

2540. 않을

2541. 때

2542. 발생

2544.
INFO

2545. mapred.TaskController:

2546. Failed

2547. to

2548. create

2549. directory

2550. /var/log/hadoop/cache/
mapred/mapred/local1/taskTracker/atm

2551. -

2552. No

2553. such

2554. file

2555. or

2556. directory

2557.
14/09/27

2558. 14:44:06

2559. WARN

2560. mapred.TaskTracker:

2561. Exception

2562. while

2563. localization

2564. jav
a.io.IOException:

2565. Job

2566. initialization

2567. failed

2568. (20)

2570. 결론

2571.
1.

2572. 커버로스가

2573. 정말

2574. 필요한

2575. 환경인지,

2576. 진지하게

2577. 고민
하세요.

2578.
2.

2579. 충분히

2580. 연습하세요.

2581.
3.

2582. 관리도구를

2583. 적절히

2584. 활용하세요.

2585.
4.

2586. 계정

2587. 관리는

2588. LDAP,

2589. 액티브

2590. 디렉터리와

2591. 연동하는

2592.
것이

2593. 좋습니다.

2594.
5.

2595. 게이트웨이

2596. 서버(Knox,

2597. Sentry)를

2598. 활용하세요.

2600. QA

2602. THANK

2603. YOU