安全检查与加固

防病毒软件例行检查

此项所有特性均需关注。

定期开展对集群和Spark组件的防病毒扫描，防病毒例行检查会帮助集群免受病毒、恶意代码、间谍软件以及恶意程序，降低系统瘫痪、信息泄露等风险。建议使用业界主流防病毒软件进行防病毒检查。

日志控制

关注点：

• 检查系统是否可以限制单个日志文件的大小。
• 检查日志空间占满后，是否存在机制进行清理。

漏洞修复

为保证生产环境的安全，降低被攻击的风险，请开启防火墙，并定期修复以下漏洞。

• 操作系统漏洞
• JDK漏洞
• Hadoop及Spark漏洞
• ZooKeeper漏洞
• Kerberos漏洞
• OpenSSL漏洞
• 其他相关组件漏洞

  以CVE-2021-37137为例。

  漏洞描述：

  Netty 4.1.17版本存在两个Content-Length的http header可能会发生混淆的风险通告，漏洞编号：CVE-2021-37137。

  本系统使用hdfs-ceph（version 3.2.0）服务作为存算分离的存储对象，它因依赖aws-java-sdk-bundle-1.11.375.jar而涉及该漏洞。建议用户及时更新漏洞补丁进行防护，以免遭受黑客攻击。

  影响范围：

  Netty 4.1.68及以前版本。

  修复建议：

  目前厂商已发布升级补丁以修复漏洞，请参见GitHub修复漏洞。

SSH加固

在部署安装过程中，需要通过SSH连接服务器。由于root用户拥有最高权限，直接使用root用户登录服务器可能会存在安全风险。建议您使用普通用户登录服务器进行安装部署，并建议您通过配置禁止root用户SSH登录的选项，来提升系统安全性。操作步骤：

用户登录系统后检查“/etc/ssh/sshd_config”配置项“PermitRootLogin”。

• 如果显示no，说明禁止了root用户SSH登录。
• 如果显示yes，说明需要修改PermitRootLogin为no。