HBase在CentOS的安全设置

HBase在CentOS上的安全设置是一个复杂但至关重要的过程，它涉及到多个层面的配置。以下是一些关键步骤和策略，可以帮助你提升HBase的安全防护能力。

系统安全基础

• 系统更新：使用以下命令确保系统软件处于最新版本，修补已知漏洞：

  sudo yum update
  

• 防火墙配置：利用iptables或其他防火墙软件限制对HBase的访问。以下示例允许SSH、MySQL、HTTP和HTTPS访问，其余流量则被拒绝：

  sudo yum install iptables
  sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
  sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT # MySQL
  sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
  sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
  sudo iptables -A INPUT -j DROP # 拒绝其他流量
  sudo systemctl enable iptables
  sudo systemctl start iptables
  

• 密码策略：设置强密码策略，例如密码最小长度，并通过修改 /etc/login.defs文件强制执行，例如将密码最小长度设置为10：

  PASS_MIN_LEN 10
  

• 关键文件保护：使用 chattr命令为 /etc/passwd、/etc/shadow、/etc/group和 /etc/gshadow文件添加不可修改属性，增强安全性：

  sudo chattr +i /etc/passwd
  sudo chattr +i /etc/shadow
  sudo chattr +i /etc/group
  sudo chattr +i /etc/gshadow
  

• 设置root账户自动注销时限：通过修改 /etc/profile文件中的 tmout参数，可以设置root账户的自动注销时限，以减少未授权访问的风险。

  vi /etc/profile
  histFILESIZE=300
  tmout=300
  

• 限制su命令：编辑 /etc/pam.d/su文件，限制只有特定组的用户(如wheel组)才能使用su命令切换为root。

  auth required pam_wheel.so use_uid
  

• 限制普通用户执行敏感操作：为了防止普通用户执行关机、重启、配置网络等敏感操作，可以删除或修改 /etc/security/console.apps下的相应程序的访问控制文件。

  rm -rf /etc/security/console.apps/*
  

• 禁用ctrl+alt+delete组合键：修改 /etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉。

  vi /etc/inittab
  # ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  

HBase安全特定配置

• 启用HBase安全模式：在 hbase-site.xml文件中添加以下配置，启用Kerberos认证和授权：

  <property>
    <name>hbase.security.authentication</name>
    <value>kerberos</value>
  </property>
  <property>
    <name>hbase.security.authorization</name>
    <value>true</value>
  </property>
  

• Kerberos配置：配置Kerberos认证和Ranger授权，实现细粒度访问控制。这包括创建HBase principal，并为其分配适当的权限。

  kadmin.local -q "addprinc hbase/_HOST@REALM"
  kadmin.local -q "xst -k /etc/security/keytabs/hbase.service.keytab hbase/_HOST@REALM"
  

• 数据加密：启用透明数据加密(TDE)和SSL/TLS等安全协议，保护数据在存储和传输过程中的安全。具体配置取决于你选择的加密方案。
• 安全插件：使用Apache Ranger或Apache Sentry等安全插件，实现更精细的访问控制和审计功能。
• 日志审计：配置HBase和相关组件的日志审计功能，记录用户操作和访问信息，便于安全监控和问题追踪。

重要提示

• 定期更新：定期更新HBase、Hadoop以及CentOS系统，以获得最新的安全补丁。
• 安全审计：定期进行安全审计和渗透测试，评估系统安全状况并及时发现和修复潜在漏洞。

通过上述步骤，你可以为HBase在CentOS上设置一个全面的安全策略，有效地保护你的数据不受未授权访问的威胁。