Debian 上保障 HBase 安全的可落地方案
一 基础系统与网络加固
- 保持系统与依赖为最新:定期执行 sudo apt update && sudo apt upgrade,及时修补 HBase、Kerberos、Java 等组件漏洞。
- 强化 SSH:禁用 root 远程登录、禁止空密码、启用密钥认证,重启 sshd 生效。
- 最小化暴露面:仅开放必要端口(示例:HBase Master 60000、RegionServer 60020、RPC 9090、HTTPS 443),使用 ufw/iptables 实施白名单与端口限制,变更前备份规则并在测试环境验证。
- 可选加强:按需启用 SELinux 或最小权限的系统加固基线,降低进程越权风险。
二 身份与访问控制
- 启用 Kerberos 强认证:安装 krb5-user,配置 /etc/krb5.conf;在 KDC 创建服务主体(如 hbase/_HOST@YOUR-REALM.COM)并导出 Keytab,设置权限为 600;在 hbase-site.xml 启用认证并配置主体与 Keytab 路径,集群各节点保持同步。
- 启用 HBase ACL 细粒度授权:开启 hbase.security.authorization,通过 AccessController 协处理器实现 Global/Namespace/Table/ColumnFamily/Cell 五级授权;使用 HBase Shell 的 grant/revoke 管理权限,常用权限为 R/W/X/C/A。
- 集中策略与审计(可选):集成 Apache Ranger 实现 RBAC 与统一审计、动态策略下发。
三 传输与静态加密
- 传输加密 SSL/TLS:使用 keytool 生成密钥库与信任库,配置 hbase.ssl.enabled、keystore/truststore 路径与口令;将 hbase.rpc.protection 设为 privacy 以强制 RPC 加密,客户端与服务端一致配置。
- 静态加密 TDE(可选):在 HBase 3.x+ 通过协处理器与 Hadoop KMS 管理密钥,对 HFile 数据块进行透明加密存储,满足合规与数据落盘保密需求。
四 审计、监控与密钥运维
- 启用审计日志:在 hbase-site.xml 打开 hbase.security.audit.log.enabled,指定 hbase.security.audit.log.file(如 /var/log/hbase/audit.log),设置文件权限 640、属主 hbase:adm,确保可追溯。
- 监控与告警:采集 认证失败次数、Kerberos 票据有效期等指标(如 Prometheus + Grafana),设置阈值告警(例如:认证失败 >10 次/5 分钟 触发严重告警;票据剩余 <5 分钟 触发警告)。
- 密钥与证书生命周期:定期轮换 Kerberos 票据/Keytab 与 SSL/TLS 证书,变更窗口内完成滚动更新与回滚预案,避免服务中断。
五 快速核查清单
| 检查项 |
关键配置/操作 |
验证方式 |
| 系统加固 |
ufw/iptables 仅开放必要端口;SSH 禁用 root、密钥登录 |
本地/远端端口扫描、sshd 配置核对 |
| Kerberos |
krb5.conf 正确;主体与 Keytab 到位;权限 600 |
kinit/klist 获取票据;服务启动无认证报错 |
| 授权 |
hbase.security.authorization=true;AccessController 生效 |
HBase Shell grant/revoke 正常;越权访问被拒 |
| 加密 |
SSL/TLS 启用;RPC protection=privacy |
抓包验证 TLS;客户端连接测试 |
| 审计与监控 |
审计日志路径与权限正确;指标与告警配置完成 |
查看 /var/log/hbase/audit.log;告警触发演练 |