在CentOS上配置HDFS安全可從系統基礎安全����、Kerberos認證�、權限管理��、加密等方面入手���,具體步驟如下:
一��、系統基礎安全配置
- 強化用戶管理
- 鎖定非必要超級用戶:
passwd -l 用戶名�。
- 刪除默認冗余賬戶(如
adm�、lp):userdel 用戶名�����。
- 設置復雜密碼(長度>10位�,含大小寫字母��、數字����、特殊字符)并修改
/etc/login.defs限制密碼規則��。
- 保護系統文件
- 用
chattr +i鎖定/etc/passwd��、/etc/shadow等關鍵文件���。
- 限制
su命令使用:編輯/etc/pam.d/su��,僅允許特定組(如wheel)使用��。
二�����、Kerberos身份認證
- 安裝與配置Kerberos
- 安裝服務端和客戶端:
yum install krb5-server krb5-workstation����。
- 編輯
/etc/krb5.conf�����,配置領域(REALM)和KDC服務器信息�。
- 啟動服務:
systemctl start krb5kdc && systemctl start kadmind���。
- 創建HDFS服務主體與密鑰表
- 在KDC服務器上執行:
kadmin.local -q "addprinc -randkey hdfs/_HOST@YOUR.REALM.COM"���。
kadmin.local -q "ktadd -k /etc/security/keytabs/hdfs.keytab hdfs/_HOST@YOUR.REALM.COM"��。
- 配置HDFS使用Kerberos
- 驗證認證
- 使用
kinit獲取票據:kinit 用戶名@REALM.COM��。
- 通過
klist查看票據有效性�。
三��、HDFS權限與加密配置
- 權限控制
- 啟用權限檢查:
hdfs dfsadmin -safemode enter(安全模式下配置)�����。
- 設置目錄權限:
hdfs dfs -chmod 755 /path�,hdfs dfs -chown 用戶:組 /path�。
- 啟用ACL(訪問控制列表):在
hdfs-site.xml中設置dfs.namenode.acls.enabled=true���,并通過hdfs dfs -setfacl添加規則��。
- 數據加密
- 傳輸加密:在
hdfs-site.xml中設置dfs.encrypt.data.transfer=true��。
- 存儲加密:使用HDFS透明加密(需配置加密區域和密鑰)�。
四�、集群安全增強
- 防火墻與節點通信
- 限制HDFS端口(如NameNode默認8020�、DataNode默認50010)的防火墻規則�。
- 確保節點間SSH無密碼登錄(使用
ssh-keygen和authorized_keys)�。
- 監控與審計
- 啟用HDFS審計日志(通過
hdfs-site.xml配置dfs.audit.logger)��。
- 定期備份HDFS數據到異地����,并驗證恢復流程�。
五�、其他安全措施
- 禁用SELinux或配置為寬松模式(生產環境建議關閉)���。
- 定期更新系統和Hadoop組件補丁����,修復安全漏洞��。
參考來源:
