Hadoop 不需認證導致數據洩露

最近,有報導指全球 Hadoop 伺服器因配置不安全導致大量數據洩漏,涉及使用 Hadoop 分佈式文件系統(HDFS)的近 4500 台伺服器,數據量高達 5120 TB (5.12 PB),經分析,這批數據洩漏的近 4500 台 HDFS 伺服器中以美國和中國為主。

互聯網上暴露的 Hadoop 伺服器如果沒有配置認證均可能受影響,攻擊者針對 HDFS 的攻擊刪除了大多數目錄,並會添加一個名為「NODATA 4U_SECUREYOURSHIT」的新目錄和「PLEASE_README」的目錄,攻擊者可能備份業務數據後在伺服器上刪除這部分數據,然後直接發送勒索郵件並索要勒索贖金。

該問題產生是由於管理員在配置失誤所致,由於直接在雲端上開放了 Hadoop 機器 HDFS 的 50070 web 端口及部分預設服務端口,駭客可以通過命令行操作多個目錄下的數據,如進行刪除操作,安全風險高。

用戶可以透過人手方式檢測端口是否開放到了公網。

假如真的發生問題,可以進行以下修復措施:

  • 安裝完 Hadoop 集群後,進行安全加固:
  • 按照安全最小化原則,禁止公網對這部分端口存取,如果因業務需要必須對外開放,請使用 ECS 提供的安全組策略指定存取 IP 存取端口業務,如無必要,關閉 Hadoop Web 管理頁面;
  • 開啟服務級別身份驗證,如 Kerberos 認證;
  • 部署 Knox、Nginx 之類的反向代理系統,防止未經授權用戶存取;
  • 使用交換機或防火牆策略配置訪問控制策略 (ACL),將 Hadoop 預設開放的多個端口對公網全部禁止或限制可信任的 IP 地址才能存取包括 50070 以及 WebUI 等相關端口。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *