利用nginx增强elasticseach http安全性

最新推荐文章于 2022-08-11 22:38:35 发布
原创 最新推荐文章于 2022-08-11 22:38:35 发布 · 992 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #安全 #openssl #ssl #nginx

为应对公司内部 Elasticsearch HTTP 端口的安全隐患,本文介绍了一种利用 Nginx 实现反向代理与 Basic Auth 的解决方案。通过将 Elasticsearch 绑定到本地地址并借助 Nginx 进行 SSL 加密及认证,有效提升了系统的安全性。

背景

最近公司安全检查,elasticsearch http端口处于开放状态,虽然在内网但依然风险很大.解决安全问题的套路基本上有两个:一个是官方的shield;还有一个是search guard.shield需要license,果断放弃.实际考察了一下search guard.东西不错但配置繁琐些,需要生产证书.而且不支持关闭node验证.公司大部分程序是java client开发的,这就意味着所有上线应用都要重新加证书才能正常工作,兄弟门改完了还得回归测试,成本有点高.于是想到了万能的nginx,反向代理+basic auth基本能够解决问题.


实施步骤

首先要修改elasticsearch.yml,加上下面一行来绑定http地址到127.0.0.1(只允许本地访问)

  1. http.host: 127.0.0.1

然后重启elasticsearch,现在9200端口只对本地开放,其他机器上访问全都被拒.

接下来配置nginx反向代理及ssl

生成ssl证书及密钥

  1.  openssl req \
  2.  -newkey rsa:4096 -nodes -sha256 -keyout eshttp.key \
  3.  -x509 -days 3650 -out eshttp.crt


生成basic auth所需密码文件

  1. printf "admin:$(openssl passwd -crypt admin)\n" >>htpasswd

conf.d/upstream.conf

  1. upstream eslocalhttp {
  2. 	server 127.0.0.1:9200 max_fails=3 fail_timeout=4s weight=9;
  3. }


conf.d/open_eshttpproxy.conf

  1. server {
  2. 	server_name eshttproxy;
  3.         listen	8080;
  4.         ssl on;
  5.         ssl_certificate /etc/nginx/conf.d/eshttp.crt;
  6.         ssl_certificate_key /etc/nginx/conf.d/eshttp.key;
  7. 	location / {
  8.              auth_basic "Restricted";
  9.              auth_basic_user_file /etc/nginx/conf.d/htpasswd;
  10.              proxy_redirect off;
  11.              proxy_bind 127.0.0.1;
  12. 	     proxy_pass http://eslocalhttp;
  13. 	}
  14. }

最后编写docker-compose.yml

  1. #  For elasticsearch local http proxy
  3. version: '2'
  5. services:
  6.   esproxy-nginx:
  7.       image: nginx:alpine 
  8.       cpuset: '0' 
  9.       volumes:
  10.         - /etc/localtime:/etc/localtime:ro
  11.         - ./conf.d:/etc/nginx/conf.d
  12.       network_mode: "host"
  13.       container_name: esproxy-nginx

启动docker

  1. sudo docker-compse up -d

现在可以通过https://yourip:8080/ 访问elasticsearch的restful了

完整项目见:https://github.com/jiashiwen/eshttpproxy


【项目实战】Spring Boot连接ES报错status line [HTTP/1.1 401 Unauthorized
本本本添哥
03-15 4735
SpringBoot的配置文件yaml中ES连接的配置内容如下。直接将SpringBoot的配置文件yaml文件,修改成以下即可。可以很明显看到,无法找到使用,可是我明明已经引入了ES的依赖了。有教程说在application.yml中添加。因为账号密码错误,导致了无法连接ES,提示。这个是错的,已经被弃用的使用方式了。修改完成后,可以正常看到系统源码的。
Nginx 80端口转发隐藏真实ElasticSearch地址端口
灵动的艺术的博客
11-05 4557
Nginx 80端口转发隐藏Redis真实地址端口redis.conf/etc/hosts测试远程连接Spring Boot配置 一般来讲,如果我们直接将Redis的地址和端口暴露出去,容易被攻击,为安全起见,我们可以利用Nginx代理分发隐藏Redis地址信息。 redis.conf 我们可以在Nginx的站点目录下配置redis.conf vim /usr/local/nginx/sites-...
ElasticSearch 通过nginxHTTP验证
weixin_30820077的博客
03-19 567
ElasticSearch的设置文件中如果设置了 network.host: 0.0.0.0 则表示ElasticSearch服务是公开的任何ip都可以访问ElasticSearch服务。这样肯定是不安全的。 我们可以通过安装X-Pack这个然间来做对ElasticSearch的登陆验证,但是这个是收费的只可以免费使用30天。 还有一种方法也是我们常用就是使用nginx的反向代...
使用nginxhttp验证功能对elasticsearch加密
smallanonymous的博客
12-13 3637
前言 这篇文章是https://www.elastic.co/blog/playing-http-tricks-nginx的部分翻译,对像我这样的小白学习nginxelasticsearch有些许帮助,ps:翻译好难。。。e文好的同学还是去看原文吧。。。 正文 Elasticsearch默认是完全暴露在互联网上的RESTful服务接口。 这样做的好处是:web开发人员可以很快熟悉它的API,很
Elastic:使用 Nginx 来保护 Elastic Stack
Elastic 中国社区官方博客
01-05 5821
在我之前的文章 “反向代理及负载均衡在 Elasticsearch 中的应用” 中,我已经详述了如何使用 Nginx 来作为一个反向代理来访问 Elastic Stack。在今天的文章中,我将详述如何使用 Nginx 来保护 Elastic Stack。基于 Elastic Stack Basic 许可以上,我们都可以使用 Elastic Stack 所提供的安全方案来对 Elastic Stack 进行保护。针对 OSS 的用户来说,我们可以使用 Nginx 所提供的安全措施来对我们的 Elastic S
kibana+docker_Docker Nginx &&Tomcat &&ES+Kibana
weixin_39800918的博客
11-29 210
Nginx 1查看镜像版本alpine 微缩版本Docker Hub​registry.hub.docker.com2.下载nginxdocker pull nginx3.运行nginx启动docker 后台运行nginx(-d) 别名为nginx01(--name) 对外端口3344 (宿主机端口)对内80(容器端口) (-p 3344:80) nginx(启动镜像名)docker run...
如何搭建Nginx+ElasticSearch实现用户认证并允许跨域CORS调用
cjwcui的博客
03-15 3237
ElasticSearch默认没有用户认证,任何人都能访问,这样很不安全,官方的安全解决方案Xpack是收费的,如果只想实现简单的用户认证,可以选择加入Nginx实现基本的用户认证即可。同时因为前端程序需要调用ElasticSearch的REST快速查询数据,所以需要保证ElasticSearch的REST API支持跨域用户调用。ElasticSearch配置将ElasticSearch设置为只...
Windows版本包含nginx-http-flv-module的nginx推流
最新发布
01-03
它还提供了对缓存和安全性方面的控制,使得推送流可以在经过缓冲处理后以更加稳定和安全的方式传输。 在实际部署nginx-http-flv-module的过程中,开发者需要考虑多种因素,如网络带宽、服务器硬件性能、编解码配置...
信息安全技术基础:利用Nginx漏洞上传.pptx
11-01
【信息安全技术基础:利用Nginx漏洞上传.pptx】这篇文档主要讲解了信息安全领域中的一个常见问题,即如何利用Nginx服务器的解析漏洞进行非法文件上传。Nginx是一个广泛使用的高性能HTTP服务器和反向代理服务器,以其...
nginx-http-flv-module(windows版)
04-14
已编译好的nginx-http-flv-molule(windows版) 基于: --> openssl-1.1.1g --> pcre-8.44 --> zlib-1.2.11 --> nginx-http-module-v1.2.10 --> nginx-1.21.6 ======================== 在网上查找半天都只有教程,...
详解NGINX访问https跳转到http的解决方法
09-30
在现代Web服务中,安全性和用户体验是至关重要的因素。HTTPS协议通过加密通信,确保了数据传输的安全性,而HTTP则不提供这样的安全保障。然而,在某些情况下,用户可能会遇到从HTTPS站点意外重定向到HTTP的问题。这...
nginx1.21.4 http-flv-module windows64
03-31
4. **反向代理**: Nginx 可以作为反向代理,隐藏内部服务器架构,提高安全性和性能。 **HTTP FLV 模块知识点** 1. **HTTP FLV 模块**: 这个模块允许 Nginx 服务器接收并传输 FLV 格式的视频流,通常 Adobe Flash...
Elasticsearch顶尖高手系列课程-核心知识篇+高手进阶篇(免费无加密)
02-27
附件百度云地址,无加密,核心知识篇+高手进阶篇(完整版)
ElasticSearch未授权访问
打代码的小女孩
11-17 7893
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
ElasticSearch Nginx形式的访问控制
t0m的专栏
08-09 2592
前面说到使用x-pack可以实现安全访问控制,但是由于x-pack在许可更新后,free license不支持x-pack功能,所以只能另想办法。 通过百度,找到一种,可以使用nginx做一层访问的控制,简单的用户名密码的形式, htpasswd.py生成授权文件,参照:666 nginx配置: server { listen 19200; #我的放到这个
elasticsearch未授权访问漏洞怎么在日常的测试中发现
qq_42097777的博客
07-27 2545
一般测试中我们会对目标的地址进行端口扫描,如果扫描到9200端口(ElasticSearch端口(默认9200)。 我们直接访问看到是这个页面,就是存在这种漏洞:
nginx给kibana、elasticsearch做权限认证
We practice improving every day
09-19 586
最近一直使用logstash+elasticsearch+kibana作日志分析,通过kibana来查看报表的各种panel,但是每次查看都需要拨线上的VPN,比较麻烦,于是就想到用nginx来给kibana和elasticsearch作个权限认证。认证成功的效果如下: 呵呵,得瑟下。好了,废话不多说,直接上配置。 1、配置nginx密码:nginx可以为网站或目录甚至特定的文件设...
使用nginx 代理内网中的es的head插件访问
健康平安的活着的专栏
08-11 2362
现在不想把9200端口暴露出去,改用80端口,现在使用nginx进行反向代理操作。
nginx 反向代理 ElasticSearch es
embelfe_segge的博客
03-28 960
本文讲述如何使用nginx代理kibana 1、更改kibana.yml文件添加前缀 2、nginx添加配置 location /kibana/ { proxy_pass http://127.0.0.1:5601/; rewrite ^/elk/(.*)$ /$1 break; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host:$serve.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值