首页 » 应用安全 » 数据库 » Hadoop » 正文

Hadoop 安全建议和加固

WebUI敏感信息泄漏:

Hadoop默认情况开放了很多端口并提供WebUI

一、HDFS
   1.NameNode 默认端口                    50070
   2.SecondNameNode 默认端口        50090
   3.DataNode 默认端口                       50075
   4.Backup/Checkpoint node 默认端口  50105

二、MapReduce
   1.JobTracker 默认端口    50030
   2.TaskTracker 默认端口   50060

端口探测,扫描HDFS和MapReduce的WebUI对应的服务端
NameNode WebUI管理界面
通过NameNode节点管理HDFS
其中比较重要的是DataNode 默认端口50075开放的话,攻击者可以通过hdsf提供的restful api对hdfs存储数据进行操作。


Hadoop的第三方插件安全漏洞

Cloudera Manager  <=5.5
1、Cloudera Manager CVE-2016-4949 Information Disclosure Vulnerability
2、Template rename stored XSS (CVE-2016-4948)
Kerberos wizard stored XSS (CVE-2016-4948)
Host addition reflected XSS (CVE-2016-4948)

Cloudera HUE =< 3.9.0
1、Enumerating users with an unprivileged account (CVE-2016-4947)
2、Stored XSS (CVE-2016-4946)
3、Open redirect

Apache Ranger =< 0.5
1、Unauthenticated policy download
2、Authenticated SQL injection (CVE-2016-2174)

Apache Group Hadoop 2.6.x
1、Apache Hadoop MapReduce信息泄露漏洞(CVE-2015-1776)


安全解决方案:

1、开启kerberos认证,参考:http://hadoop.apache.org/docs/r2.7.3/hadoop-auth/Configuration.html
2、敏感页面以及目录最好也不要对普通用户开放,可nginx方向代理、iptables解决。(jmx/logs/cluster/status.jsp/)
3、hadoop集群单独部署 做好安全监控发现被攻击迹象及时高警

发表评论