HBase在CentOS上的安全配置怎么做
导读:CentOS上HBase安全配置清单 一 系统层安全加固 保持系统与依赖更新:执行sudo yum update -y,及时修补内核与中间件漏洞。 最小化开放端口与访问面:仅放通必要端口(如22/SSH、9090/HBase Master...
CentOS上HBase安全配置清单
一 系统层安全加固
- 保持系统与依赖更新:执行sudo yum update -y,及时修补内核与中间件漏洞。
- 最小化开放端口与访问面:仅放通必要端口(如22/SSH、9090/HBase Master UI、8020/HDFS RPC),使用firewalld集中管理:
- 示例:sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
- 示例:sudo firewall-cmd --zone=public --add-port=9090/tcp --permanent
- 示例:sudo firewall-cmd --zone=public --add-port=8020/tcp --permanent
- 执行:sudo firewall-cmd --reload
- 强化账户与口令策略:设置PASS_MIN_LEN 10等复杂度要求,限制root直接登录,启用sudo审计;对关键文件设置不可变属性(如**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**)以防被篡改:sudo chattr +i 文件路径。
- 主机加固:关闭不必要的服务与内核模块,开启SELinux(或明确策略),启用auditd审计关键目录与命令。
二 启用强认证 Kerberos
- 安装与配置KDC:在KDC主机安装krb5-server、krb5-utils,编辑**/etc/krb5.conf**:
- [libdefaults] 设置default_realm
- [realms] 配置kdc与admin_server
- [domain_realm] 映射域名与Realm
- 创建服务主体与导出keytab(在KDC或管理节点):
- kadmin.local -q “addprinc -randkey hbase/_HOST@YOUR-REALM.COM”
- kadmin.local -q “xst -k /etc/security/keytabs/hbase.service.keytab hbase/_HOST@YOUR-REALM.COM”
- 将keytab分发至各节点相同路径,权限设为600,属主为hbase运行用户。
- 配置HBase启用Kerberos:在hbase-site.xml中设置
- hbase.security.authentication=kerberos
- hbase.security.authorization=true
- 可选:hbase.rpc.protection=privacy(加密RPC流量)
- 配置JAAS登录:为HMaster/HRegionServer设置use-ticket-cache=false、principal=hbase/_HOST@YOUR-REALM、keytab=/path/to/hbase.service.keytab。
- 按顺序重启:ZooKeeper → HDFS → HBase(先停后启),确保各进程能kinit成功并加载keytab。
三 授权与审计
- 启用HBase ACL:在hbase-site.xml设置hbase.security.authorization=true,并在hbase-site.xml或全局配置中设置hbase.acl.defaultAction=DENY(默认拒绝)。
- 使用HBase Shell管理权限:
- 授予:grant ‘user1’,‘RW’,‘table1’
- 撤销:revoke ‘user2’,‘W’,‘table1’
- 集中式策略管理(可选):集成Apache Ranger进行细粒度授权与审计策略下发,在Ranger中创建服务与策略并同步到HBase。
- 启用审计日志:开启HBase访问与权限审计,将日志接入Ranger Audit或集中式日志平台,便于合规与追踪。
四 加密与网络安全
- 传输加密:
- RPC/客户端通信:设置hbase.rpc.protection=privacy启用SASL加密。
- Web UI与REST(如启用):部署TLS/SSL证书,配置Jetty/REST启用HTTPS。
- 存储加密:启用**透明数据加密(TDE)**保护HFile与WAL数据落盘,结合HDFS/KMS管理密钥生命周期。
- 网络分区与隔离:管理/业务/存储网段分离,仅开放必要端口,使用安全组/iptables限制来源IP。
五 验证与运维
- 连通性与认证验证:
- kinit -kt /etc/security/keytabs/hbase.service.keytab hbase/
hostname -f@YOUR-REALM.COM - echo $? 应为0;hbase shell 执行list应成功返回表列表。
- kinit -kt /etc/security/keytabs/hbase.service.keytab hbase/
- 授权验证:以普通用户连接HBase Shell,尝试对受控表执行scan/put,验证ACL是否生效(无权限应被拒绝)。
- 审计与告警:在Ranger/Audit与监控系统中查看访问与策略命中日志,配置异常行为告警。
- 变更与回滚:任何配置变更先在测试环境验证,变更窗口内按顺序启停服务,保留回滚方案与配置基线。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: HBase在CentOS上的安全配置怎么做
本文地址: https://pptw.com/jishu/756514.html