HBase安全设置在CentOS上如何操作

以下是在CentOS上设置HBase安全的关键步骤：

1. 启用Kerberos认证

   • 安装Kerberos客户端：sudo yum install krb5-workstation。
   • 配置Kerberos主体（Principal）和密钥表（Keytab），在hbase-site.xml中添加：

     <property>  
       <name>hbase.security.authentication</name>  
       <value>kerberos</value>  
     </property>  
     <property>  
       <name>hbase.master.kerberos.principal</name>  
       <value>hbase/_HOST@YOUR_REALM</value>  
     </property>  
     <property>  
       <name>hbase.regionserver.kerberos.principal</name>  
       <value>hbase/_HOST@YOUR_REALM</value>  
     </property>  
     ```。  
     

   • 重启HBase服务：sudo systemctl restart hbase-master hbase-regionserver。

2. 配置访问控制列表（ACL）

   • 启用ACL：在hbase-site.xml中添加：

     <property>  
       <name>hbase.security.access.controller</name>  
       <value>org.apache.hadoop.hbase.security.access.AccessController</value>  
     </property>  
     <property>  
       <name>hbase.security.authorization</name>  
       <value>true</value>  
     </property>  
     ```。  
     

   • 使用HBase Shell设置权限：

     hbase> grant 'user1', 'RW', 'table1:cf1'  # 授权用户对指定表列族的读写权限  
     hbase> revoke 'user2', 'W', 'table2:cf2'  # 撤销用户对指定表列族的写权限  
     ```。  
     
     

3. 配置防火墙

   • 开放HBase默认端口（如16000、16010等）：

     sudo firewall-cmd --permanent --zone=public --add-port=16000/tcp  
     sudo firewall-cmd --reload  
     ```。  
     
     

4. 验证配置

   • 验证Kerberos认证：klist查看票据，hbase shell测试连接。
   • 验证ACL权限：hbase shell scan 'table'确认用户访问权限。

5. 其他安全增强（可选）

   • 启用审计日志：在hbase-site.xml中添加：

     <property>  
       <name>hbase.security.audit.log</name>  
       <value>true</value>  
     </property>  
     <property>  
       <name>hbase.security.audit.log.file</name>  
       <value>/var/log/hbase/audit.log</value>  
     </property>  
     ```。  
     

   • 定期更新HBase版本并备份数据。

参考来源：