HBase 在 Debian 上的安全设置方法

1. 启用Kerberos认证（HBase安全基础）
Kerberos是HBase实现身份验证的核心机制，确保只有合法用户能访问集群。在Debian上需完成以下步骤：

• 安装Kerberos软件包：通过apt安装必要组件，命令为sudo apt-get update && sudo apt-get install krb5-config krb5-user libkrb5-dev。
• 配置Kerberos参数：编辑/etc/krb5.conf文件，设置default_realm（如YOUR.REALM）和realms段中的kdc（密钥分发中心）、admin_server（管理员服务器）地址，例如：

  [libdefaults]
    default_realm = YOUR.REALM
  [realms]
    YOUR.REALM = {
      kdc = kdc.your.realm
      admin_server = kdc.your.realm
    }
  

• 生成HBase的Keytab文件：使用kadmin.local命令创建HBase的principal（如hbase/_HOST@YOUR.REALM）并导出keytab文件，命令为：

  kadmin.local -q "addprinc hbase/_HOST@YOUR.REALM"
  kadmin.local -q "ktadd -k /etc/security/keytabs/hbase.service.keytab hbase/_HOST@YOUR.REALM"
  

• 配置HBase识别Kerberos：修改hbase-site.xml，添加以下关键属性：

  <property>
    <name>hbase.security.authentication</name>
    <value>kerberos</value>
  </property>
  <property>
    <name>hbase.security.authorization</name>
    <value>true</value>
  </property>
  <property>
    <name>hbase.security.kerberos.login.keytab</name>
    <value>/etc/security/keytabs/hbase.service.keytab</value>
  </property>
  <property>
    <name>hbase.security.kerberos.login.principal</name>
    <value>hbase/_HOST@YOUR.REALM</value>
  </property>
  

2. 配置防火墙限制访问（网络层防护）
通过iptables限制对HBase服务端口的访问，仅允许可信IP或系统访问必要端口（如HBase Master的60000端口、RegionServer的60020端口）：

# 允许HBase Master Web UI（默认60010）
sudo iptables -A INPUT -p tcp --dport 60010 -j ACCEPT
# 允许HBase RegionServer Web UI（默认60030）
sudo iptables -A INPUT -p tcp --dport 60030 -j ACCEPT
# 允许SSH（用于远程管理，默认22）
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 拒绝其他所有入站流量
sudo iptables -A INPUT -j DROP
# 保存规则（Debian需安装iptables-persistent）
sudo service iptables save
sudo service iptables restart

3. 设置用户权限与ACL（细粒度访问控制）
通过HBase Shell或Apache Ranger实现用户权限管理，控制用户对表、列族的访问：

• 创建用户与组：在Debian系统中创建Linux用户（如hbase_user1），并将其加入对应组（如hbase_users）：

  sudo adduser hbase_user1
  sudo usermod -aG hbase_users hbase_user1
  

• 配置HBase ACL：使用HBase Shell授予权限，例如授予hbase_user1对test_table表的读写权限：

  hbase shell
  grant 'hbase_user1', 'RW', 'test_table'
  # 授予组权限（需开启HBase的组映射功能）
  grant 'hbase_users', 'R', 'test_table'
  

• 可选：使用Apache Ranger：通过Ranger实现更细粒度的权限控制（如基于列、行的权限），需额外安装并配置Ranger插件。

4. 启用数据加密（传输与存储安全）
通过SSL/TLS加密数据传输，防止数据被窃听或篡改：

• 生成SSL证书：使用keytool生成密钥库（Keystore）和信任库（Truststore），命令为：

  keytool -genkeypair -alias hbase -keyalg RSA -keystore /path/to/hbase.keystore.jks -validity 365
  keytool -exportcert -alias hbase -keystore /path/to/hbase.keystore.jks -file hbase.crt
  keytool -importcert -alias hbase -file hbase.crt -keystore /path/to/hbase.truststore.jks
  

• 配置HBase启用SSL：修改hbase-site.xml，添加以下属性：

  <property>
    <name>hbase.rpc.ssl.enabled</name>
    <value>true</value>
  </property>
  <property>
    <name>hbase.rpc.ssl.keystore.path</name>
    <value>/path/to/hbase.keystore.jks</value>
  </property>
  <property>
    <name>hbase.rpc.ssl.keystore.password</name>
    <value>your_keystore_password</value>
  </property>
  <property>
    <name>hbase.rpc.ssl.truststore.path</name>
    <value>/path/to/hbase.truststore.jks</value>
  </property>
  <property>
    <name>hbase.rpc.ssl.truststore.password</name>
    <value>your_truststore_password</value>
  </property>
  

5. 其他安全加固措施

• 定期更新组件：使用apt更新HBase、Kerberos、Debian系统及相关依赖，及时修复安全漏洞：

  sudo apt update && sudo apt upgrade -y
  

• 启用审计日志：配置HBase审计日志记录用户操作（如访问表、修改数据），便于后续安全审计。修改hbase-site.xml添加：

  <property>
    <name>hbase.security.audit.log.enabled</name>
    <value>true</value>
  </property>
  <property>
    <name>hbase.security.audit.log.path</name>
    <value>/var/log/hbase/audit.log</value>
  </property>
  

• 强化系统用户权限：确保HBase运行用户（如hbase）对数据目录（如/usr/local/hbase/data）有读写权限，且其他用户无不必要的访问权限：

  sudo chown -R hbase:hbase /usr/local/hbase/data
  sudo chmod -R 750 /usr/local/hbase/data