Ubuntu中HBase的安全设置

Ubuntu环境下HBase安全设置指南

1. 开启HBase安全模式

在/etc/hbase/conf/hbase-site.xml中添加核心安全配置，启用认证与授权机制：

<property>
  <name>hbase.security.authentication</name>
  <value>kerberos</value> <!-- 使用Kerberos进行身份验证 -->
</property>
<property>
  <name>hbase.security.authorization</name>
  <value>true</value> <!-- 启用访问控制列表（ACL） -->
</property>

修改后需重启HBase服务使配置生效。

2. 配置Kerberos认证

Kerberos是HBase安全的基础，需通过以下步骤创建principal并生成密钥表：

• 创建HBase Principal：使用kadmin.local工具为HBase服务创建principal（_HOST会自动解析为当前主机名）：

  kadmin.local -q "addprinc hbase/_HOST@YOUR-REALM"
  

  其中YOUR-REALM需替换为你的Kerberos域（如EXAMPLE.COM）。
• 生成密钥表文件：将principal的密钥导出到密钥表文件（需指定路径和密码）：

  kadmin.local -q "xst -k /etc/security/keytabs/hbase.service.keytab hbase/_HOST@YOUR-REALM"
  

• 设置密钥表权限：确保HBase进程用户（如hbase）对密钥表文件有读取权限：

  chown hbase:hbase /etc/security/keytabs/hbase.service.keytab
  chmod 600 /etc/security/keytabs/hbase.service.keytab
  

3. 配置HBase ACL权限控制

通过HBase Shell管理用户权限，实现细粒度的访问控制：

• 创建用户并授权：进入HBase Shell，使用grant命令为用户分配权限（支持R=读、W=写、C=创建、A=管理员等权限）：

  grant 'user1', 'RW', 'my_table'  # 授予user1对my_table的读写权限
  grant 'admin', 'RWCA', '.*'      # 授予admin对所有表的完全控制权限
  

• 查看权限：使用user_permission命令查看用户的权限信息：

  user_permission '.*'  # 查看所有表的权限
  user_permission 'my_table'  # 查看指定表的权限
  

4. 启用SSL/TLS加密传输

通过SSL加密HBase客户端与服务端之间的数据传输，防止数据泄露：

• 生成密钥库与信任库：使用keytool工具生成密钥库（存储服务器私钥和证书）和信任库（存储客户端信任的证书）：

  # 生成密钥库（别名hbase，密码your_keystore_pass）
  keytool -genkeypair -alias hbase -keyalg RSA -keypass your_keystore_pass -storepass your_keystore_pass -keystore /etc/hbase/conf/hbase.keystore
  # 导出证书到文件
  keytool -export -alias hbase -file hbase.cer -keystore /etc/hbase/conf/hbase.keystore -storepass your_keystore_pass
  # 导入证书到信任库（信任库密码your_truststore_pass）
  keytool -import -alias hbase -file hbase.cer -storepass your_truststore_pass -keystore /etc/hbase/conf/hbase.truststore
  

• 配置SSL参数：在hbase-site.xml中添加SSL相关配置，指定密钥库与信任库的路径及密码：

  <property>
    <name>hbase.ssl.enabled</name>
    <value>true</value> <!-- 启用SSL -->
  </property>
  <property>
    <name>hbase.ssl.keystore.location</name>
    <value>/etc/hbase/conf/hbase.keystore</value> <!-- 密钥库路径 -->
  </property>
  <property>
    <name>hbase.ssl.keystore.password</name>
    <value>your_keystore_pass</value> <!-- 密钥库密码 -->
  </property>
  <property>
    <name>hbase.ssl.truststore.location</name>
    <value>/etc/hbase/conf/hbase.truststore</value> <!-- 信任库路径 -->
  </property>
  <property>
    <name>hbase.ssl.truststore.password</name>
    <value>your_truststore_pass</value> <!-- 信任库密码 -->
  </property>
  

• 重启HBase服务：使SSL配置生效：

  stop-hbase.sh && start-hbase.sh
  

5. 配置防火墙限制访问

通过Ubuntu防火墙（ufw）限制对HBase服务端口（如HMaster的16000、RegionServer的16020、ZooKeeper的2181）的访问，仅允许可信IP地址连接：

# 允许HMaster端口（默认16000）
sudo ufw allow from trusted_ip to any port 16000
# 允许RegionServer端口（默认16020）
sudo ufw allow from trusted_ip to any port 16020
# 允许ZooKeeper端口（默认2181）
sudo ufw allow from trusted_ip to any port 2181
# 启用防火墙
sudo ufw enable

将trusted_ip替换为允许访问的客户端IP地址。

6. 调整文件系统权限

确保HBase相关目录（如数据目录、日志目录、配置目录）的权限正确，避免未授权用户修改或访问：

# 假设HBase用户为hbase，数据目录为/var/lib/hbase
sudo chown -R hbase:hbase /var/lib/hbase
sudo chmod -R 750 /var/lib/hbase
# 配置目录（如/etc/hbase/conf）
sudo chown -R hbase:hbase /etc/hbase/conf
sudo chmod -R 750 /etc/hbase/conf

以上步骤覆盖了Ubuntu环境下HBase的核心安全设置，可根据实际需求调整权限范围和加密强度。