Hadoop 不需認證導致數據洩露

最近，有報導指全球 Hadoop 伺服器因配置不安全導致大量數據洩漏，涉及使用 Hadoop 分佈式文件系統（HDFS）的近 4500 台伺服器，數據量高達 5120 TB （5.12 PB），經分析，這批數據洩漏的近 4500 台 HDFS 伺服器中以美國和中國為主。

互聯網上暴露的 Hadoop 伺服器如果沒有配置認證均可能受影響，攻擊者針對 HDFS 的攻擊刪除了大多數目錄，並會添加一個名為「NODATA 4U_SECUREYOURSHIT」的新目錄和「PLEASE_README」的目錄，攻擊者可能備份業務數據後在伺服器上刪除這部分數據，然後直接發送勒索郵件並索要勒索贖金。

該問題產生是由於管理員在配置失誤所致，由於直接在雲端上開放了 Hadoop 機器 HDFS 的 50070 web 端口及部分預設服務端口，駭客可以通過命令行操作多個目錄下的數據，如進行刪除操作，安全風險高。

用戶可以透過人手方式檢測端口是否開放到了公網。

假如真的發生問題，可以進行以下修復措施：

• 安裝完 Hadoop 集群後，進行安全加固：
• 按照安全最小化原則，禁止公網對這部分端口存取，如果因業務需要必須對外開放，請使用 ECS 提供的安全組策略指定存取 IP 存取端口業務，如無必要，關閉 Hadoop Web 管理頁面；
• 開啟服務級別身份驗證，如 Kerberos 認證；
• 部署 Knox、Nginx 之類的反向代理系統，防止未經授權用戶存取；
• 使用交換機或防火牆策略配置訪問控制策略 (ACL)，將 Hadoop 預設開放的多個端口對公網全部禁止或限制可信任的 IP 地址才能存取包括 50070 以及 WebUI 等相關端口。