关闭

Elasticsearch shield权限管理详解

标签: elasticsearchshield权限管理安全es
18911人阅读 评论(17) 收藏 举报

ElasticSearch本身没有权限管理模块,只要获取服务器的地址和端口,任何人都可以随意读写ElasticSearch的API并获取数据,这样非常不安全。如果获取了ES的访问IP和端口,一条命令就可以删除整个索引库。好在Elastic公司开发了安全插件shield来解决权限管理问题. https://www.elastic.co/products/shield

一、shield安装

bin/plugin install license
bin/plugin install shield

第二步:重启Elasticsearch

bin/elasticsearch

第三步:添加管理员

bin/shield/esusers useradd adminName -r admin

adminName是可以自定义的,执行该命令以后会提示输入密码,再次输入密码进行确认,之后管理员用户就添加成功了。

再访问ES服务器中的数据就需要密码验证了.在终端中执行之前的命令试一下:

curl -XGET "http://192.168.0.224:9200/blog/article/1?pretty"
{
  "error" : {
    "root_cause" : [ {
      "type" : "security_exception",
      "reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
      "header" : {
        "WWW-Authenticate" : "Basic realm=\"shield\""
      }
    } ],
    "type" : "security_exception",
    "reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
    "header" : {
      "WWW-Authenticate" : "Basic realm=\"shield\""
    }
  },
  "status" : 401
}

报安全异常,这时候需要把-u 管理员名称加到命令中,截图方便理解:

这里写图片描述
加入权限以后,在终端中每次执行操作都需要加参数并输入正确的密码。
在浏览器中访问ES同样需要验证:
这里写图片描述

二、Java Api中使用shield

加入权限管理以后在JAVA Api中需要做修改:

第一步:加入jar包
直接导入
到elasticsearch-2.3.3/plugins/shield目录下拷贝shield-2.3.3.jar,加到CLASSPATH中.
或者maven导入

<project ...>
   <repositories>
      <!-- add the elasticsearch repo -->
      <repository>
         <id>elasticsearch-releases</id>
         <url>https://maven.elasticsearch.org/releases</url>
         <releases>
            <enabled>true</enabled>
         </releases>
         <snapshots>
            <enabled>false</enabled>
         </snapshots>
      </repository>
      ...
   </repositories>
   ...
   <dependencies>
      <!-- add the shield jar as a dependency -->
      <dependency>
         <groupId>org.elasticsearch.plugin</groupId>
         <artifactId>shield</artifactId>
         <version>2.2.0</version>
      </dependency>
      ...
   </dependencies>
   ...
 </project>

第二步:修改setting:

import org.elasticsearch.shield.ShieldPlugin;

Settings settings = Settings.settingsBuilder()
      .put("cluster.name", "bropen")
                   .put("shield.user","bropen:password")
                   .build();

第三步:修改client

Client client = TransportClient.builder()
        .addPlugin(ShieldPlugin.class)
                 .settings(settings).build()
                 .addTransportAddress(new      
InetSocketTransportAddress(InetAddress.getByName("192.168.0.224"), 9300));

三、shield 用户管理

3.1 新增用户

./elasticsearch-2.3.3/bin/shield/esusers  useradd bropen

回车后输入两次密码确认
Enter new password:
Retype new password:

3.2 查看用户

./elasticsearch-2.3.3/bin/shield/esusers list

会列出当前所有的user和角色:

es_admin       : admin
bropen         : admin

3.3 修改密码

给用户名为bropen的管理员修改密码:

./elasticsearch-2.3.3/bin/shield/esusers  passwd bropen

回车后输入两次密码确认


Enter new password:
Retype new password:

3.4 删除用户

./elasticsearch-2.3.3/bin/shield/esusers userdel bropen

查看所有可用命令:

  ./elasticsearch-2.3.3/bin/shield/esusers  -h

如果在head中出现cluster health: not connected的情况,如下图:
这里写图片描述

可以查看当前用户是不是管理员角色:

./elasticsearch-2.3.3/bin/shield/esusers list

给名为bropen的管理员添加角色:

./elasticsearch-2.3.3/bin/shield/esusers roles bropen -a admin

官网关于Shield的Java api说明:
https://www.elastic.co/guide/en/shield/current/_using_elasticsearch_java_clients_with_shield.html

Shield参考手册
https://www.elastic.co/guide/en/shield/current/index.html


2016年9月23日更新:
在stackoverflow上问的大神说Shield插件是收费软件,免费试用1一个月,需要购买license才能继续使用。后来发现shield插件简单的接口可以一直使用,高级功能需要付费后使用。

2
0
查看评论

Elasticsearch安装后x-pack插件后使用CRUL

Elasticsearch-5.2.1安装x-pack插件后,无法正常按照之前的参数来进行CRUL操作,因为安装的x-pack的插件中新增了Shield的安全机制。 比如我们使用:curl -XPUT ‘localhost:9200/idx’ 会出现如下类似的错误信息{ "error...
  • u012332735
  • u012332735
  • 2017-02-22 07:27
  • 3063

Shield在ELK Stack中的权限保护实例

在上一篇博客中ELK Stack之Shield介绍介绍了Shiel的简单部署和一些工作机制,本篇博客就结合实例演示一下Shield在elk stack中的权限保护Shi
  • Gamer_gyt
  • Gamer_gyt
  • 2016-10-23 19:00
  • 3545

给Elasticsearch 和Kibana添加基于角色的访问权限控制

给ELK 添加Shield权限控制背景这两天整个项目(电商SAAS系统)上线后,由于系统变得很大,每天产生的业务日志、访问日志、数据库慢查询、php等语言日志,都分布在不同的机器上,所以需要统一收集并格式化存储,方便研发运维实时掌握整个系统的运行情况,所以搭建了MCAS日志收集分析系统。系统搭建好后...
  • xuplus
  • xuplus
  • 2016-06-08 10:58
  • 18052

elasticsearch之shield插件安装文档

elasticsearch之shield插件安装文档默认情况下elasticsearch可以不受限制访问,如果在外网的情况下就不安全了,所以,elastic官方提供了shield插件,可以实现权限控制,但是不好的地方就是这个插件是收费的,可以免费试用一个月。那我们就来试试吧! The Shield...
  • xu470438000
  • xu470438000
  • 2017-01-05 10:36
  • 1990

使用Shield保护ElasticSearch平台--兼权限控制

使用Shield保护ELK平台 ——兼权限控制 ELK系统默认并不含有用户认证功能,基本上任何人都可以随意读写ElasticSearch的API并获取数据,这时该如何对ELK系统做好防护工作呢? 目标 在读完这篇教程后,您可以学会: 阻拦未授权的用户对ELK平台的访问允许不同用...
  • sd4015700
  • sd4015700
  • 2015-12-29 17:01
  • 7858

【入门篇】logstash、elasticsearch、kibana搭建日志平台

1、下载logstash       a、官方下载地址:https://www.elastic.co/downloads/logstash       b、解压:tar -xzvf logstash-5.1.1.tar.gz ...
  • pistolove
  • pistolove
  • 2016-12-14 09:49
  • 16066

Java之Elasticsearch 增删改查

package com.sxis.util; import java.io.IOException; import java.net.InetAddress; import java.net.UnknownHostException; import java.util.Date; import j...
  • u012272186
  • u012272186
  • 2017-07-13 15:39
  • 844

ElasticSearch(三)--文档

面向对象编程语言流行的原因之一是,可以用对象表示和处理现实生活中那些有潜在关系和复杂结构的实体.到目前为止,这种方式还不错. 当我们存储这些实体时问题来了,以行和列的形式将数据存储在关系数据库中,相当于使用电子表格,这种方式使对象的灵活性不复存在. 如何能以对象的方式存储数据呢?使程序专注于使用数据...
  • WuyZhen_CSDN
  • WuyZhen_CSDN
  • 2016-05-12 22:32
  • 7039

haproxy 负载elasticsearch 切换

Attempted to send a bulk request to Elasticsearch configured at '["http://192.168.32.152:9200"]', but an error occurred and it faile...
  • zhaoyangjian724
  • zhaoyangjian724
  • 2016-09-14 10:36
  • 1258

Elasticsearch 权限控制

随着ES的广泛使用,其安全问题也备受关注,虽然ES集群一般部署于公司内网,但多个业务部门使用同一套ES集群的情况非常多,如何做好数据共享、访问隔离,防止用户误操作、数据泄露等,这需要一套良好的权限控制机制。1.方案调研目前官方的安全模块Shield需要收费,所以普及率并不高,下面调研了以下几种方案:...
  • Desilting
  • Desilting
  • 2017-03-01 18:07
  • 2426
    《从Lucene到Elasticsearch:全文检索实战》
    Lucene、ES、ELK开发交流群:370734940
    Lucene、ES、ELK开发交流
    个人资料
    • 访问:929990次
    • 积分:9210
    • 等级:
    • 排名:第2389名
    • 原创:209篇
    • 转载:2篇
    • 译文:6篇
    • 评论:467条
    StackOverFlow
    http://stackoverflow.com/users/6526424
    统计
    博客专栏
    文章分类
    最新评论