Ubuntu HDFS安全设置有哪些要点

Ubuntu上部署HDFS的安全设置要点

一 身份与访问控制

• 启用强认证：将Hadoop切换为Kerberos认证，配置 core-site.xml 的 hadoop.security.authentication=kerberos，并在 hdfs-site.xml 中设置 dfs.namenode.kerberos.principal 等主体；集群各服务需获取对应keytab并定期kinit续票。示例与参数名可直接用于生产基线。
• 启用权限校验：在 hdfs-site.xml 打开 dfs.permissions.enabled=true，确保基于用户/组/其他的POSIX权限生效。
• 精细化授权：对敏感目录使用 ACL 补充授权，命令示例：hdfs dfs -setfacl -m user:alice:rwx /data；查看：hdfs dfs -getfacl /data。
• 统一身份与目录基线：按业务划分用户/用户组，为HDFS目录设置最小权限与合理的umask（如 fs.permissions.umask-mode），避免“其他”过宽。
• 统一策略与审计：在开启ACL的基础上，结合企业级RBAC与集中审计，避免权限碎片化与审计缺失。

二 加密与数据保护

• 传输加密：为客户端与服务端之间的通信启用SSL/TLS，防止链路窃听与篡改。
• 存储加密：对落盘数据启用透明数据加密（TDE），实现“写入即加密、读取即解密”，对用户透明。
• 完整性校验：启用**校验和（如MD5/SHA-1）**机制，定期校验关键数据，及时发现传输或存储过程中的篡改。
• 备份与恢复：制定定期备份与异地容灾策略，并定期演练恢复流程，降低数据丢失风险。

三 网络安全与最小暴露面

• 边界与主机防火墙：使用 ufw/firewalld 实施“默认拒绝、按需放行”。仅开放必要端口；**HDFS Web UI（如50070、50075）**仅在内网管理网段开放；SSH管理端口限制来源网段。
• 服务最小化：关闭或卸载不必要的服务/端口/组件，减少攻击面。
• 网络分段：将管理网、业务网、存储网分离，限制横向移动与数据平面暴露。

四 审计、监控与补丁

• 审计日志：启用并落盘 HDFS 审计日志，配置路径与滚动参数，例如：hadoop.security.audit.log.path、hadoop.security.audit.log.maxsize、hadoop.security.audit.log.maxbackupindex，确保可追溯。
• 实时监控与告警：对异常访问、权限变更、失败登录等建立监控与告警，缩短MTTD/MTTR。
• 系统与组件加固：启用 AppArmor（Ubuntu默认），保持 Hadoop/OS 的及时更新与补丁；可使用 unattended-upgrades 做自动安全更新。

五 快速检查清单