在CentOS上配置HDFS安全可从以下方面入手:
- Kerberos认证
- 安装Kerberos服务端/客户端,配置
/etc/krb5.conf
,添加领域和KDC信息。 - 为NameNode和DataNode创建主体及密钥表,配置
core-site.xml
和hdfs-site.xml
启用Kerberos认证。
- 权限管理
- 启用权限检查:设置
dfs.permissions.enabled=true
。 - 通过
chmod
/chown
设置文件/目录权限,使用setfacl
配置ACL实现细粒度控制。 - 为敏感目录(如
/user
)设置粘滞位,防止非所有者删除文件。
- 网络与防火墙
- 限制HDFS相关端口(如9000、50070等)通过防火墙,仅允许可信IP访问。
- 配置SSH免密登录,便于节点间安全通信。
- 系统基础安全
- 禁用非必要超级用户,强化普通用户密码策略,定期更新系统补丁。
- 启用SELinux或配置防火墙规则,限制HDFS服务权限。
- 加密与审计
- 启用HDFS透明数据加密(TDE),配置加密区域和密钥。
- 记录HDFS操作日志,结合监控工具(如ELK)分析异常行为。
配置后需重启HDFS服务并验证认证、权限及加密功能是否正常。生产环境建议结合Ranger等工具实现更高级的权限管控。