2017-09-18 3 views
0

Ambariバージョン:2.2.2.18 HDPスタック:2.4.3 OS:CentOSの7.3Ambari-agent "CERTIFICATE_VERIFY_FAILED"、Pythonで証明書検証を無効にしても安全ですか?

問題説明は:

Ambari-サーバがAmbariエージェントと通信することはできません。私はambariエージェントログにエラーの下に見ることができます:

ERROR 2017-09-18 06:35:34,684 NetUtil.py:84 - [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:579) 
ERROR 2017-09-18 06:35:34,684 NetUtil.py:85 - SSLError: Failed to connect. Please check openssl library versions. 

私は最近、この問題に直面していますし、インスタンスが再起動された後、これは一貫して複製することができます表示されます。 (私はEC2インスタンスを使用しています)。

エージェントノードを正常に登録でき、HDPクラスタをインストールし、糸ジョブなどを実行できます。全く問題ありません。インスタンスを再起動すると、この問題が発生します。

すでに同じようにこの問題のために掲載いくつかの解決策がある:2.7から下へ

  • ダウングレードPythonが。これは既知の問題 Ambari with Python 2.7

  • 無効にすることで証明書の確認を制御します。 "verify = disable"を設定します。 /etc/python/cert-verification.cfg

の下で、私はそれはカサンドラ、YUMパッケージマネージャなどのような多くの多くのものを混乱させることができますとしてPythonでプレーしたくない...

第二作業周囲は非常に簡単で、うまくいきます!

ここで私の質問になる: - Pythonで証明書の検証を無効にするのは安全ですか?すなわち、プロパティverify = disableを設定することにより、

+0

と問題になりそうです。これは、決定的で正しい解決策が必要であるように見える問題です。 –

答えて

0

一般に、それは悪い考えです。誰かがエージェントとサーバー間の通信に使用されているサーバー上のポート(私が間違っていない場合は8443)にアクセスできる場合、エージェントとして登録し、すべてのクラスタ構成を&のパスワードにすることができます。または、古典的な中間者攻撃は、暗号化されていないトラフィックを読み取って同じことを可能にします。もう少し難しい攻撃では、エージェントにコマンドを送ることができます(おそらく、root権限を持っている)。

ambari-serverホストを再プロビジョニングし、古いambari-agentインスタンスが実行されていたか、証明書が期限切れになっていたようですが、最初にambari-serverに接続すると、エージェントは証明書を生成してサーバーに送信します。サーバーはこれらの証明書にそれ自身の鍵で署名するので、サーバーエージェント接続は暗号化されます。古い証明書を削除し、hereのように&エージェントを再起動しようとしましたか?

0

どのように我々はこの問題を調査し、どのような解決策我々は採用しなかった:

調査詳細を:OSの依存性があるとしてPython 2.6へのダウングレード

は現実的ではありませんとの「Dmitriusan」からの提案どおりこれまでのコメントでは、Pythonで証明書検証を無効にすることはお勧めできません。

我々は何も問題がないのPython 2.7、JDK 1.8でAWS EC2

とセントOS 7.2を使用します。すべてがスムーズです。

Python 2.7、JDK 1.8、CentOS 7.3、およびCentos 7.4では、この問題が発生しています。

私がここで報告した問題は、Centos 7.3とCentos 7.4に関するものです。問題は多少異なります。クラスタ自体にノードを追加する際に、証明書の検証が失敗します。

centos 7.3から7.2へのダウングレードは簡単ではありません。 AWS EC2市場はCentos 7.0 Imageを提供し、このイメージからインスタンスを作成すると、セキュリティとパッチの更新が適用され、Centos 7.3が適用されます。

既存のサーバーから独自のImage of Centos 7.2を作成することはできますが、セキュリティ上の理由から、最新のOSアップデートを適用することは常に有効です。

すぐに説明すると、回避策がありましたが、解決策はありませんでした。我々はを採用

ソリューション:

一連のテストの後、私たちはCentOSに7.4とAmbariバージョン2.6では

をCentOSに7.4、HDP-2.6.3.0にアップグレードすることを決めた、とAmbari 2.6.0.0 .0.0、私は 'Python 2.7.5'がインストールされていてもこの問題は表示されません。

だから、これははるかに良いアイデアは、エラーが発生する理由* *理解し、根本的な問題を解決するだろうAmbari

関連する問題