Ubuntu Hadoop 安全漏洞怎么防范

Ubuntu Hadoop 安全漏洞防范清单

一 身份与访问控制

• 启用 Kerberos 强认证：在 core-site.xml 设置 hadoop.security.authentication=kerberos，部署 KDC，为各服务创建主体与 Keytab，确保“人-服务-作业”均被强认证。
• 关闭或限制 Web UI 匿名访问：在 core-site.xml 将 hadoop.http.authentication.simple.anonymous.allowed=false；通过反向代理（如 Knox/Nginx）暴露管理界面，仅允许可信 IP/网段 访问。
• 启用服务级授权：在 core-site.xml 打开 hadoop.security.authorization=true，在 hadoop-policy.xml 配置如 security.client.protocol.acl、security.job.submission.protocol.acl，变更后用 hadoop dfsadmin –refreshServiceAcl 刷新。
• 细粒度授权与默认 ACL：使用 Apache Ranger/Sentry 做 RBAC/ABAC；对敏感目录设置 HDFS ACL 与默认 ACL，如：
  hdfs dfs -setfacl -m default:user:analyst:r-x /data/finance
• 最小权限与职责分离：按角色（管理员/开发/分析/运维）划分权限，生产环境遵循“只读为主、写需审批”。

二 网络与端口防护

• 边界与主机防火墙：使用 ufw/iptables 仅放行必要端口与来源；对管理口（如 SSH 22）限制为跳板或内网来源。
• 隐藏与收敛端口：避免将 HDFS/YARN Web UI 与 RPC 直接暴露公网；必要时修改默认端口（示例：NameNode http 从 50070/9870 改为自定义端口，DataNode http 从 50075/9864 改为自定义端口），并仅在内网开放。
• 网络分段与隔离：管理网、数据网、业务网分离；对敏感数据区实施 VLAN/安全组 隔离与更严格的访问控制。
• 禁用不必要接口与协议：关闭未使用的 HTTP 管理接口 与 REST/Web 控制台的外网访问。

三 加密与密钥管理

• 传输加密：在 core-site.xml 启用 SSL/TLS（如 hadoop.ssl.enabled=true），为各组件配置 keystore/truststore，覆盖 客户端-服务端 与 组件间 通信。
• 静态加密：启用 HDFS 透明加密（TDE），部署 KMS 集中管理密钥，创建 加密区（Encryption Zone） 存放敏感数据，密钥与数据物理/逻辑隔离。
• 密钥安全：优先使用 HSM/KMS 托管主密钥，定期轮换；限制密钥访问权限与审计。

四 审计监控与漏洞管理

• 集中审计：启用 Ranger/Sentry 审计，记录用户对 HDFS/Hive/HBase 等资源的访问与权限变更，日志接入 Elasticsearch 并用 Kibana 可视化分析。
• 实时监控与告警：部署 Prometheus+Grafana/ELK，对异常行为（如夜间高频访问、越权访问、作业异常）设置告警。
• 完整性校验：启用 HDFS 校验和（如 MD5/SHA-1）保障存储/传输完整性。
• 补丁与配置基线：及时升级 Ubuntu 与 Hadoop 版本，启用 unattended-upgrades 自动安全更新；定期核查组件配置基线（如关闭匿名访问、启用认证/加密）。
• 备份与演练：对关键数据与元数据定期备份（含异地/离线），并定期验证 恢复流程 可用性。

五 常见漏洞快速处置表