2024年Elastic stack7(1)

• • 生成PKI客户端证书
    • 配置Kibana到Elasticsearch的校验
    • 配置Kibana UI的SSL加密传输

简介

对生产环境的Elasticsearch集群开启安全特性是必要的，而Elastic Stack已经提供了基于X-PACK的安全能力。X-Pack是Elasticsearch的一个扩展包，将安全，警告，监视，图形和报告功能捆绑在一个易于安装的软件包中，可以轻松的启用或者关闭相关功能。开源版本的Elasticsearch拥有基本许可证，拥有X-PACK提供的核心安全功能。基本许可证默认禁用Elasticsearch安全特性，使用xpack.security相关配置可以实现允许匿名访问、执行消息身份验证、建立文档和字段级别的安全性、使用SSL加密通信、审计等相关功能，所有这些配置都可以在elasticsearch.yml文件中进行配置。本文将会介绍有关配置安全特性、TLS/SSL加密传输和PKI客户端证书的详细步骤：

• 启用Elasticsearch安全特性；
• 配置传输层TLS/SSL加密传输；
• 设置内置用户密码；
• 配置HTTP层TLS/SSL加密传输；
• 配置Kibana到Elasticsearch的校验；

X-Pack提供以下几个方面保护Elasticsearch集群安全的功能：1）用户验证；2）授权和基于角色的访问控制；3）节点/客户端认证和信道加密；4）审计。以上这些都是X-pack的核心功能。

启用Elasticsearch安全特性

首先，需要修改集群中每个节点上的elasticsearch.yml文件以启用安全特性：

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

一旦集群启用安全特性，还必须启用TLS/SSL加密传输，否则将会看到如下错误日志：

Transport SSL must be enabled if security is enabled on a [basic] license. Please set [xpack.security.transport.ssl.enabled] to [true] or disable security by setting [xpack.security.enabled] to [false]

配置传输层TLS/SSL加密传输

Elasticsearch有两个级别的通信：传输层通信和HTTP层通信。传输协议用于Elasticsearch节点之间的内部通信，HTTP协议用于从客户端到Elasticsearch集群的通信。由于Elasticsearch集群中的每个节点都是客户端和集群中其他节点的服务器，因此所有传输证书都必须是客户端和服务器证书。

Elasticsearch附带了一个名为elasticsearch-certutil的实用程序，可用于生成加密Elasticsearch集群内部通信的自签名证书，证书生成命令如下：

输入密码那一块直接回车，不要设置密码 假如在生成证书的时候设置了密码，会导致无法启动ES

bin/elasticsearch-certutil ca
ENTER ENTER
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
ENTER ENTER ENTER

我们将获得可用于加密通信的TLS/SSL证书elastic-certificates.p12，将证书复制到config/certs的目录中，然后在elasticsearch.yml文件配置如下：

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

现在重新启动Elasticsearch集群中的所有节点，以使上述更改生效。

设置内置用户密码

如果你得集群之前已经设置了密码 那这里可以跳过，SSL不会对已经设置的密码造成什么影响

因为设置密码的命令将通过不安全的HTTP与集群通信，所以在为HTTP通信启用TLS/SSL之前，需要完成内置用户密码的设置。可以使用以下命令设置内置用户密码：

bin/elasticsearch-setup-passwords interactive
// 或自动生成并设置密码
bin/elasticsearch-setup-passwords auto

请务必记住为每个内置用户分配的密码：

Changed password for user apm_system
PASSWORD apm_system = RHAZfygyiDV4IeF7VvgB
// 用于kibana组件获取相关信息用于web展示
Changed password for user kibana
PASSWORD kibana = kCXmcWjxdGyjdhJWQ9jA
// 用于logstash服务获取elasticsearch的监控数据
Changed password for user logstash_system
PASSWORD logstash_system = XDGslllTWzKBneY7LAtZ
// 用于在Elasticsearch中存储监控信息
Changed password for user beats_system
PASSWORD beats_system = VCMmSzm078qWcA9CEgGI
Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = PKb0qzZ4txJWLyE67qeQ
// 超级管理员，拥有所有权限
Changed password for user elastic
PASSWORD elastic = jBvQ9UMngerYnas0Br0s

配置HTTP层TLS/SSL加密传输

对于HTTP层通信，Elasticsearch节点仅用作服务器，因此可以使用服务器证书，即TLS/SSL证书不需要启用客户端身份验证。值得注意的是，用于加密HTTP通信的证书可以完全独立于用于传输通信的证书。为了简化操作，我们使用与已用于传输通信的相同的证书，即在elasticsearch.yml文件中配置如下：

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12

重新启动集群中的所有Elasticsearch节点才能使更改生效。

配置Kibana到Elasticsearch的校验

生成PKI客户端证书

将用于PKI身份验证的证书必须由与用于加密HTTP通信的证书相同的CA进行签名。因为我们已经使用了自签名CA，所以我们必须还使用之前的elastic-stack-ca.p12CA来签署HTTP客户端证书。如下所示：

输入密码那一块直接回车，不要设置密码 启动会报错

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 
ENTER
ENTER
ENTER

mv elastic-certificates.p12  client.p12
与之前的密钥分开命名

这将创建一个名为elastic-certificates.p12的文件，其中包含对我们的Elasticsearch集群进行PKI身份验证所需的所有信息。 但是，为了使用此证书，需要将其分解为其私钥，公共证书和CA证书：

// Private Key 私钥
openssl pkcs12 -in client.p12 -nocerts -nodes > client.key
// Public Certificate 公共证书
openssl pkcs12 -in client.p12 -clcerts -nokeys  > client.cer
// CA Certificate 签署公共证书的CA
openssl pkcs12 -in client.p12 -cacerts -nokeys -chain > client-ca.cer

配置Kibana到Elasticsearch的校验

现在Elasticsearch集群上启用了安全特性，因此必须启用Kibana安全特性并配置为通过HTTPS向集群进行身份验证。在Kibana中创建config/certs目录，并将生成的客户端证书复制到目录中，并将以下行添加到我们的kibana.yml文件中：

elasticsearch.url: "https://localhost:9200" #ensure https 
xpack.security.enabled: true
elasticsearch.username: "kibana"
elasticsearch.password: "XXXXXX"
elasticsearch.ssl.certificate: config/certs/client.cer
elasticsearch.ssl.key: config/certs/client.key



还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！


王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。


对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！


【完整版领取方式在文末！！】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多，不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**