为ElasticSearch添加HTTP基本认证

转载 2015年11月17日 17:26:25

ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。而做一个简单的HTTP认证并不需要从头造轮子,elasticsearch-http-basic就提供了针对ES HTTP连接的IP白名单、密码权限和信任代理功能。

安装

elasticsearch-http-basic还不支持ES标准的bin/plugin install [github-name]/[repo-name]的安装方式,但作者有提供编译好的jar包,不需要下载源码重新编译。GitHub上目前的最新版本是对应ES的1.4.0版本,但验证过1.5.2也是同样可用的。

插件的安装步骤如下:

  • elasticsearch-http-basic的发布版下载对应版本的jar包
  • mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic注意文件夹的名称
  • 重启ES进程
  • 验证插件是否生效:curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true(如果看到plugins列表包含有http-basic-server-plugin就说明插件生效了)

配置

elasticsearch-http-basic和其他ES插件一样,在config/elasticsearch.yml中统一配置:

配置名 默认值 说明
http.basic.enabled true 开关,开启会接管全部HTTP连接
http.basic.user "admin" 账号
http.basic.password "admin_pw" 密码
http.basic.ipwhitelist ["localhost", "127.0.0.1"] 白名单内的ip访问不需要通过账号和密码,支持ip和主机名,不支持ip区间或正则
http.basic.trusted_proxy_chains [] 信任代理列表
http.basic.log false 把无授权的访问事件添加到ES的日志
http.basic.xforward "" 记载代理路径的header字段名

测试

  • Shell
# 无账号密码,不可访问
>>> curl http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
Authentication Required
# 通过user选项带上账号密码,返回正常数据
>>> curl --user [your-admin]:[your-password] http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
{
  "count" : xxx,
  "_shards" : {
    "total" : xxx,
    "successful" : xxx,
    "failed" : 0
  }
}
  • 添加了HTTP基本认证后,elasticsearch-head同样会弹窗要求你先进行权限认证

Python

ES官方的Python客户端可以通过http_auth配置账号密码:

from elasticsearch import Elasticsearch
es = Elasticsearch(['localhost'], http_auth=('your-admin', 'your-password'), port=...)

通过HTTP RESTful API 操作elasticsearch搜索数据

样例数据集这是编造的JSON格式银行客户账号信息文档,文档schema如下: { “account_number”: 0, “balance”: 16623, “fir...
  • stark_summer
  • stark_summer
  • 2015年09月30日 16:59
  • 41845

[转]使用curl命令操作elasticsearch And 使用http 查询ES

第一:_cat系列 _cat系列提供了一系列查询elasticsearch集群状态的接口。你可以通过执行 curl -XGET localhost:9200/_cat 获取所有_cat系列的操作...
  • lijuqi
  • lijuqi
  • 2017年01月11日 09:53
  • 2727

为ElasticSearch添加HTTP基本认证(head,bigdesk等插件增加登陆机制)

为ElasticSearch添加HTTP基本认证 ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友...
  • kexinmei
  • kexinmei
  • 2015年08月10日 11:19
  • 4036

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问 来源:8446666 阅读:1 时间:2017-02-15 11:30 分...
  • gaoqiao1988
  • gaoqiao1988
  • 2017年05月12日 16:26
  • 860

elasticsearch httpclient认证机制

转载自http://www.cnblogs.com/youran-he/p/7562870.html 最近公司单位搬迁,所有的服务都停止了,我负责的elasticsearch不知道怎么回事,...
  • haiyang4988
  • haiyang4988
  • 2017年09月21日 16:02
  • 271

ES修改默认的密码信息

ES修改默认的密码信息Kibana安装x-pack ES的密码管理是用x-pack来实现的 修改默认账户信息 Elasticsearch 的默认账户为 elastic 默认密码为 changme cu...
  • ypc123ypc
  • ypc123ypc
  • 2017年04月18日 11:14
  • 5310

使用curl命令操作elasticsearch

第一:_cat系列 _cat系列提供了一系列查询elasticsearch集群状态的接口。你可以通过执行 curl -XGET localhost:9200/_cat 获取所有_cat系列的操作...
  • iloveyin
  • iloveyin
  • 2015年09月09日 10:53
  • 19302

使用curl命令操作elasticsearch And 使用http 查询ES

第一:_cat系列  _cat系列提供了一系列查询elasticsearch集群状态的接口。你可以通过执行  curl -XGET localhost:9200/_cat  获取所有_cat系列...
  • z69183787
  • z69183787
  • 2017年04月12日 13:59
  • 3966

微服务架构日志集中化 安装 EFK (Fluentd ElasticSearch Kibana) 采集nginx日志

本文描述如何通过FEK组合集中化nginx的访问日志。 首先在nginx服务器上安装Fluentd. curl -L https://toolbelt.treasuredata.com/sh/in...
  • chenhaifeng2016
  • chenhaifeng2016
  • 2017年12月01日 10:21
  • 308

为ElasticSearch添加HTTP基本认证

ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项...
  • xiaomin1991222
  • xiaomin1991222
  • 2016年03月10日 16:05
  • 65
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:为ElasticSearch添加HTTP基本认证
举报原因:
原因补充:

(最多只允许输入30个字)