HBase在CentOS上的安全设置是什么

时间2025-12-12 16:56:03发布访客分类主机资讯浏览353

导读：CentOS 上 HBase 的安全设置清单一系统层安全加固保持系统与依赖更新：执行 yum update 及时修补漏洞。最小化开放端口与访问面：仅放通 SSH(22 、HBase/ZooKeeper 等必要端口，其他默认拒绝；云...

CentOS 上 HBase 的安全设置清单

一系统层安全加固

保持系统与依赖更新：执行 yum update 及时修补漏洞。
最小化开放端口与访问面：仅放通 SSH(22)、HBase/ZooKeeper 等必要端口，其他默认拒绝；云环境同步配置安全组入站规则。
强化认证与账户策略：设置复杂口令策略（如 /etc/login.defs PASS_MIN_LEN ≥ 10），限制 root 远程登录，按最小权限分配系统账号。
文件与目录防护：对关键文件（如 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）设置不可更改属性（如 chattr +i），并严格控制 keytab 等凭据文件的权限与属主（建议 600，属主为运行 HBase 的系统用户）。

二启用强认证与访问控制

开启 Kerberos 强认证
- 在 hbase-site.xml 启用：
  - hbase.security.authentication=kerberos
  - hbase.security.authorization=true
- 配置服务主体与 keytab：
  - 主体示例：hbase/_HOST@YOUR_REALM
  - 生成 keytab：kadmin.local -q “addprinc hbase/_HOST@YOUR_REALM” 与 “xst -k /path/to/hbase.service.keytab hbase/_HOST@YOUR_REALM”
  - 在 hbase-site.xml 指定登录参数：
    - hbase.security.kerberos.login.use-ticket-cache=false
    - hbase.security.kerberos.login.keytab=/path/to/hbase.service.keytab
    - hbase.security.kerberos.login.principal=hbase/_HOST@YOUR_REALM
- 为 Master/RegionServer 分别配置：
  - hbase.master.kerberos.principal
  - hbase.regionserver.kerberos.principal
- 使配置生效：按顺序重启整个集群（先停后启）。
启用 RPC 传输加密
- 设置 hbase.rpc.protection=privacy（或 authentication，视合规要求与性能取舍）。
启用 HBase ACL 细粒度授权
- 在 hbase-site.xml 设置默认拒绝：hbase.acl.defaultAction=DENY
- 通过 HBase Shell 授权：
  - 授予权限：grant ‘user1’,‘RW’,‘table1’
  - 撤销权限：revoke ‘user2’,‘W’,‘table1’

三加密与审计

四网络与端口防护

五快速验证与运维要点

验证 Kerberos 与登录：在各节点用 kinit 获取票据，使用 klist 查看；以服务账号执行 HBase 命令应无需交互输入口令。
验证 HBase 访问与 ACL：kinit 普通用户后执行 hbase shell list/scan，确认权限符合 hbase.acl.defaultAction=DENY 与已授予策略。
变更与重启：修改 hbase-site.xml 后需按序重启集群；变更 keytab 或 principal 后需重新分发并校验权限。
持续运维：保持 HBase 与依赖组件 的版本与补丁更新，定期核查 keytab 权限/属主、防火墙/安全组 与 审计日志 的完整性。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！