HBase在Debian上的安全配置

HBase 在 Debian 上的安全配置

一 基础安全基线

• 操作系统与账户
  • 在 Debian 上使用受支持的 OpenJDK 8+，为 HBase 创建专用系统用户（如 hbase），禁止使用 root 直接运行进程。
  • 目录与文件权限最小化：HBase 安装目录属主为 root:hadoop，日志目录（如 HBASE_HOME/logs）权限 770，确保启动用户可写日志。
• 传输与接口
  • 启用 HTTPS 保护 Web UI：在 hbase-site.xml 设置 hbase.ssl.enabled=true，并按需调整 hbase.master.info.port / hbase.regionserver.info.port；客户端需使用 https:// 访问。
  • 仅开放必要端口（如 16010/16030 等），并在 firewalld/ufw 中限制来源网段；禁用明文协议与默认测试账户。

二 认证与授权

• 启用 Kerberos 认证
  • 在 hbase-site.xml 启用：
    • hbase.security.authentication=kerberos
    • hbase.security.authorization=true
  • 配置主体与 keytab（示例，按实际 realm 与主机名替换）：
    • hbase.master.kerberos.principal=hbase/_HOST@YOUR-REALM
    • hbase.regionserver.kerberos.principal=hbase/_HOST@YOUR-REALM
    • hbase.master.kerberos.keytab.file=/etc/security/keytabs/hbase.service.keytab
    • hbase.regionserver.kerberos.keytab.file=/etc/security/keytabs/hbase.service.keytab
  • 使用 kadmin 创建主体并导出 keytab：
    • addprinc -randkey hbase/_HOST@YOUR-REALM
    • xst -k /etc/security/keytabs/hbase.service.keytab hbase/_HOST@YOUR-REALM
  • 将 Hadoop 的 core-site.xml / hdfs-site.xml 同步到 HBASE_HOME/conf，保证与底层 HDFS 安全配置一致。
• ZooKeeper 集成
  • 若 ZooKeeper 启用 Kerberos，在各节点创建 zk-jaas.conf（Client 节），指定 useKeyTab=true、keyTab 与对应 principal=hbase/_HOST@YOUR-REALM。
  • 在 hbase-env.sh 注入 JAAS：
    • export HBASE_OPTS=“$HBASE_OPTS -Djava.security.auth.login.config=/path/zk-jaas.conf”
• 启用 HBase ACL
  • 在 hbase shell 中按表/列族/列授权，例如：
    • grant ‘user1’, ‘RW’, ‘table1’
    • grant ‘user2’, ‘R’, ‘table1’, ‘cf1’。

三 加密与数据安全

• 传输加密
  • 启用 HTTPS 保护 Master/RegionServer Web UI（设置 hbase.ssl.enabled=true），客户端使用 https:// 访问，避免信息泄露与中间人攻击。
• 数据存储与透明加密
  • 启用 HDFS 透明加密（HDFS 层 KMS/加密区），确保 HBase 表数据在落盘与读取时均处于加密状态。
  • 保护 ZooKeeper 数据（ACL、最小权限、必要时启用 SASL/Kerberos），避免元数据被未授权访问。

四 版本兼容与注意事项

• 版本匹配与已知问题
  • 选择与 Hadoop 版本匹配的 HBase 版本（参考官方兼容矩阵）；有案例显示 HBase 2.5.x 与 Hadoop 3.3.4 在启用 Kerberos 后可能出现通信异常（如 Invalid token in javax.security.sasl.qop: DI），生产环境建议优先选用经测试的版本组合（如 HBase 2.2.6 + Hadoop 3.3.4）。
• 配置分发与一致性
  • 将 core-site.xml / hdfs-site.xml 分发到所有 HBase 节点 HBASE_HOME/conf；JAAS 与 keytab 路径、权限保持一致，避免因文件不一致导致启动或鉴权失败。

五 快速验证清单

• 使用 kinit 获取票据后，通过 hbase shell 执行 status 与简单读写，确认 Kerberos 登录、HDFS 访问与 ACL 生效。
• 访问 https://:16010 验证 HTTPS 与证书配置是否正确，确保浏览器无证书告警。
• 检查 ZooKeeper 客户端侧 JAAS 是否加载成功（日志无 SASL 失败），以及 HDFS 透明加密策略是否已挂载到 HBase 根目录。