HBase安全设置Debian方案

适用于 Debian 的 HBase 安全加固方案

一 目标与架构

• 目标：在 Debian 上启用 Kerberos 认证、基于 Coprocessor 的 ACL 授权、传输加密（SSL/TLS），并配套 系统加固与审计，满足企业级合规与最小权限原则。
• 组件与端口：
  • HBase Master：默认 16000/16010
  • HBase RegionServer：默认 16020/16030
  • ZooKeeper：默认 2181/2888/3888
  • HDFS NameNode/DataNode：8020/50070/50075
• 前置条件：已部署并可用 KDC（MIT/FreeIPA/AD）、ZooKeeper 集群、HDFS 启用安全（hadoop.security.authentication=kerberos）、JDK 8/11、Debian 11/12。

二 系统与服务加固

• 系统基线
  • 更新与最小化安装：apt update & & apt full-upgrade -y；仅保留必要软件包。
  • 账户与登录：禁用 root 远程登录，使用 sudo；为运维创建 专用账号 并加入 hadoop 组；配置 SSH 证书登录、禁用密码登录。
  • 防火墙：仅放行必要端口（如 2181/2888/3888/8020/50070/50075/16000/16010/16020/16030），按最小暴露面原则配置。
  • 文件与进程隔离：HBase 目录（如 /opt/hbase、/var/log/hbase、/etc/hbase/conf）属主 hbase:hadoop，权限 0750/0640；使用 systemd 以 hbase 用户运行服务。
  • 审计与日志：启用 auditd 记录关键目录访问；集中收集 journald 与 HBase 日志；设置 logrotate 保留 ≥ 90 天。
  • 密钥与凭据：Keytab 存放于 /etc/security/keytabs，属主 root:hadoop，权限 0640；禁止纳入代码仓库与备份外泄。

三 Kerberos 认证部署

• 安装与 KDC 配置（Debian 示例）
  • 安装包：apt-get install -y krb5-user krb5-kdc krb5-admin-server
  • 配置 /etc/krb5.conf（示例域 EXAMPLE.COM）：
    • [libdefaults] default_realm = EXAMPLE.COM
    • [realms] EXAMPLE.COM = { kdc = kdc.example.com admin_server = kdc.example.com }
    • [domain_realm] .example.com = EXAMPLE.COM
  • 初始化 KDC 数据库并创建管理员：kdb5_util create -s；kadmin.local
    • addprinc -randkey hbase/your-hbase-server.example.com
    • xst -k /etc/security/keytabs/hbase.service.keytab hbase/your-hbase-server.example.com
• HBase 服务端配置（hbase-site.xml）
  • 启用安全与主体：
    • hbase.security.authenticationkerberos
    • hbase.security.authorizationtrue
    • hbase.master.kerberos.principalhbase/_HOST@EXAMPLE.COM
    • hbase.regionserver.kerberos.principalhbase/_HOST@EXAMPLE.COM
    • hbase.master.keytab.file/etc/security/keytabs/hbase.service.keytab
    • hbase.regionserver.keytab.file/etc/security/keytabs/hbase.service.keytab
  • 说明：使用 _HOST 可在多节点复用同一配置；确保 hadoop.security.authentication=kerberos 已在 Hadoop 侧启用。

四 授权与访问控制

• 启用 Coprocessor 的 AccessController（HBase 2.x 示例）
  • hbase-site.xml：
    • hbase.coprocessor.master.classesorg.apache.hadoop.hbase.security.access.AccessController
    • hbase.coprocessor.region.classesorg.apache.hadoop.hbase.security.token.TokenProvider,org.apache.hadoop.hbase.security.access.AccessController
  • 重启顺序：先 Master，再 RegionServer（滚动重启）。
• 授权与回收（HBase Shell）
  • 授予命名空间读写：grant ‘webuser’, ‘RW’, ‘@default’
  • 授予表读写：grant ‘webuser’, ‘RW’, ‘contactlist_event_data’
  • 回收权限：revoke ‘test’, ‘t1’
  • 查看权限：user_permission ‘@default’；user_permission ‘contactlist_event_data’
  • 超级用户：在配置中指定 root/hbase 为超级用户，便于初始化与应急。

五 传输加密与客户端访问

• 启用 SSL/TLS（HBase 与 HDFS）
  • hbase-site.xml：
    • hbase.ssl.enabledtrue
    • hadoop.rpc.protectionprivacy
  • 生成 JKS/PKCS12 证书与信任库，分发至各节点并配置 HBase/HDFS 使用；Java 客户端需设置 javax.net.ssl.trustStore/javax.net.ssl.keyStore。
• Java 客户端 Kerberos 示例
  • 设置 /etc/krb5.conf 与 JAAS 文件，代码示例：
    • System.setProperty(“java.security.krb5.conf”, “/etc/krb5.conf”);
    • System.setProperty(“java.security.auth.login.config”, “/path/to/jaas.conf”);
    • Configuration conf = HBaseConfiguration.create();
    • conf.set(“hbase.zookeeper.quorum”, “zk1,zk2,zk3”);
    • conf.set(“hbase.master.kerberos.principal”, “hbase-master@EXAMPLE.COM”);
    • conf.set(“hbase.regionserver.kerberos.principal”, “hbase-regionserver@EXAMPLE.COM”);
    • Connection conn = ConnectionFactory.createConnection(conf);
  • 说明：JAAS 中配置 Krb5LoginModule 与 keytab 路径；生产建议使用 keytab 而非明文密码。

六 部署与验证清单

• 部署顺序
  • 准备 KDC 与 keytab → 配置 HDFS 安全 → 配置 ZooKeeper SASL/Kerberos → 配置 HBase 认证/授权/SSL → 滚动重启 ZooKeeper → HDFS → HBase → 初始化 ACL 超级用户 与样例授权。
• 验证要点
  • 使用 kinit 获取票据后，klist 可见有效 TGT；HBase Shell 能 list_namespace 与 scan 已授权表。
  • 未授权用户访问应被拒绝；启用 SSL 后，抓包应显示 TLS 握手；auditd 与 HBase 日志 能记录关键访问与授权事件。
• 常见问题
  • Clock Skew：各节点与 KDC 时间偏差需 ≤ 5 分钟（NTP 同步）。
  • Principal/Realm 不匹配：检查 _HOST 替换、域名与 krb5.conf 一致性。
  • Keytab 权限错误：确保 0640 且属主 root:hadoop，否则进程无法读取。
  • ZooKeeper ACL 与 SASL：若启用 ZK ACL，需与 SASL 一致，避免启动异常或写入失败。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！