HBase 在 Debian 上的安全设置怎么做

在 Debian 上落地 HBase 的安全基线

一 前置条件与环境准备

• 确保底层 HDFS 已启用 Kerberos（在 core-site.xml 设置 hadoop.security.authentication=kerberos），否则仅对 HBase 启用强认证无法覆盖 HDFS 访问链路。准备可用的 KDC，并统一 Realm（如：EXAMPLE.COM）。
• 在 Debian 节点上安装 OpenJDK 8+，配置 JAVA_HOME，并准备 HBase 安装包与目录（如 /usr/local/hbase），设置环境变量（HBASE_HOME、PATH）。
• 规划服务主体与 keytab 路径（建议 /etc/security/keytabs/），并统一文件属主与权限（如 root:hadoop，权限 770），便于分发与守护进程读取。

二 启用 Kerberos 强认证

• 服务端统一开启认证与授权：在 hbase-site.xml 设置
  • hbase.security.authentication=kerberos
  • hbase.security.authorization=true
• 配置 Master/RegionServer 主体与 keytab：
  • hbase.master.kerberos.principal=hbase/_HOST@EXAMPLE.COM
  • hbase.regionserver.kerberos.principal=hbase/_HOST@EXAMPLE.COM
  • hbase.master.keytab.file=/etc/security/keytabs/hbase.service.keytab
  • hbase.regionserver.keytab.file=/etc/security/keytabs/hbase.service.keytab
• 在 KDC 为每个节点生成并分发 keytab（示例）：
  • kadmin.local -q “ktadd -norandkey -kt /home/keytabs/hbase.service.keytab hbase/node1@EXAMPLE.COM”
  • 将 keytab 分发至所有节点目标路径，执行：chown root:hadoop /etc/security/keytabs/hbase.service.keytab；chmod 770 /etc/security/keytabs/hbase.service.keytab
• 注意：启用安全 RPC 后，需完全停止并重启 HBase 集群使配置生效。

三 启用细粒度 ACL 访问控制

• 开启 HBase 授权与协处理器（在 hbase-site.xml）：
  • hbase.security.authorization=true
  • hbase.coprocessor.master.classes=org.apache.hadoop.hbase.security.access.AccessController
  • hbase.coprocessor.region.classes=org.apache.hadoop.hbase.security.access.AccessController
  • 可选：设置 hbase.superuser=hbase（指定超级用户）
• 权限模型与操作：
  • 权限集合 RWXCA（READ、WRITE、EXEC、CREATE、ADMIN），作用域覆盖 Global / Namespace / Table / ColumnFamily / Cell。
  • 常用命令：
    • 授予：grant ‘alice’,‘RW’,‘tbl1’
    • 收回：revoke ‘alice’,‘tbl1’
    • 查看：user_permission
• 说明：启用协处理器后，未授权的访问将被拒绝，需按业务最小权限原则授予。

四 加密通信与 Thrift 网关安全

• RPC 加密（可选，按需开启）：
  • 在 hbase-site.xml 设置 hbase.rpc.protection=privacy（可选值：authentication、integrity、privacy；privacy 提供加密与完整性）。
  • 注意：启用加密会带来约 10% 的性能开销。
• 客户端安全访问：
  • 自 HBase 2.2.0 起，客户端可在 hbase-site.xml 直接配置 hbase.client.keytab.file 与 hbase.client.keytab.principal 实现自动登录与凭据续订；旧版本需先用 kinit 获取票据。
• Thrift 网关：
  • 配置 hbase.thrift.keytab.file 与 hbase.thrift.kerberos.principal（如：thrift/_HOST@EXAMPLE.COM 或 HTTP/_HOST@EXAMPLE.COM，取决于网关模式），并将 Thrift API principal 加入 HBase ACL（如：grant ‘thrift_server’,‘RWCA’）。

五 快速验证与运维要点

• 连通性与认证验证：
  • 使用具备主体与 keytab 的客户端执行 kinit -kt /path/client.keytab client@EXAMPLE.COM，随后运行 hbase shell 并执行 status、list 等命令，确认无 AccessDeniedException。
• 权限验证：
  • 以普通用户身份尝试 scan 受保护表，应被拒绝；按最小权限 grant 后再验证可访问。
• 配置一致性：
  • 确保 HBase 与 HDFS 的 authentication=kerberos 一致；客户端与服务端的 hbase.security.authentication 必须一致，否则无法通信。
• 变更管理：
  • 修改 hbase-site.xml 后需滚动重启相关守护进程；变更 ACL 可在线进行，但建议先在测试环境验证。
• 审计与排错：
  • 关注 HMaster/HRegionServer 与 ZooKeeper 日志中的 SASL、GSS-API、AccessController 相关报错，优先排查 principal 名称、keytab 权限与 realm 一致性。