一，風險分為內部和外部

首先內部：

CDH大數據集群部署過程中會自動創建以服務命名的用戶，如圖所示

用戶名(login_name)：口令位置(passwd)：用戶標識號(UID)：用戶組標識號(GID)：註釋性描述(users)：主目錄(home_directory)：登陸shell(Shell)

cat /etc/shadow

shadow文件中第二列的格式,它是加密後的密碼。該列為"!!",即":!!:",表示該用戶從來沒設置過密碼。

如此，導致存在惡意用戶偽裝成真正的用戶或者服務器入侵到hadoop集群上，惡意的提交作業，修改JobTracker狀態，篡改HDFS上的數據，偽裝成NameNode 或者TaskTracker接受任務等。

解決辦法：

加入了Kerberos認證機制。使得集群中的節點就是它們所宣稱的，是信賴的。Kerberos可以將認證的密鑰在集群部署時事先放到可靠的節點上。集群運行時，集群內的節點使用密鑰得到認證。只有被認證過節點才能正常使用。企圖冒充的節點由於沒有事先得到的密鑰信息，無法與集群內部的節點通信。防止了惡意的使用或篡改Hadoop集群的問題，確保了Hadoop集群的可靠安全。

CDH大數據集群安全風險匯總