2024年最新Elastic stack7

于 2024-05-03 02:19:20 发布
阅读量696 收藏 21
点赞数 19
分类专栏: 程序员 文章标签: jenkins 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281588/article/details/138405535
版权

对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供了基于X-PACK的安全能力。X-Pack是Elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,可以轻松的启用或者关闭相关功能。开源版本的Elasticsearch拥有基本许可证,拥有X-PACK提供的核心安全功能。基本许可证默认禁用Elasticsearch安全特性,使用xpack.security相关配置可以实现允许匿名访问、执行消息身份验证、建立文档和字段级别的安全性、使用SSL加密通信、审计等相关功能,所有这些配置都可以在elasticsearch.yml文件中进行配置。本文将会介绍有关配置安全特性、TLS/SSL加密传输和PKI客户端证书的详细步骤:

  • 启用Elasticsearch安全特性;
  • 配置传输层TLS/SSL加密传输;
  • 设置内置用户密码;
  • 配置HTTP层TLS/SSL加密传输;
  • 配置Kibana到Elasticsearch的校验;

X-Pack提供以下几个方面保护Elasticsearch集群安全的功能:1)用户验证;2)授权和基于角色的访问控制;3)节点/客户端认证和信道加密;4)审计。以上这些都是X-pack的核心功能

启用Elasticsearch安全特性

首先,需要修改集群中每个节点上的elasticsearch.yml文件以启用安全特性:

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

一旦集群启用安全特性,还必须启用TLS/SSL加密传输,否则将会看到如下错误日志:

Transport SSL must be enabled if security is enabled on a [basic] license. Please set [xpack.security.transport.ssl.enabled] to [true] or disable security by setting [xpack.security.enabled] to [false]

配置传输层TLS/SSL加密传输

Elasticsearch有两个级别的通信:传输层通信和HTTP层通信。传输协议用于Elasticsearch节点之间的内部通信,HTTP协议用于从客户端到Elasticsearch集群的通信。由于Elasticsearch集群中的每个节点都是客户端和集群中其他节点的服务器,因此所有传输证书都必须是客户端和服务器证书。

Elasticsearch附带了一个名为elasticsearch-certutil的实用程序,可用于生成加密Elasticsearch集群内部通信的自签名证书,证书生成命令如下:

输入密码那一块直接回车,不要设置密码 假如在生成证书的时候设置了密码,会导致无法启动ES

bin/elasticsearch-certutil ca
ENTER ENTER
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
ENTER ENTER ENTER

我们将获得可用于加密通信的TLS/SSL证书elastic-certificates.p12,将证书复制到config/certs的目录中,然后在elasticsearch.yml文件配置如下:

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

现在重新启动Elasticsearch集群中的所有节点,以使上述更改生效。

设置内置用户密码

如果你得集群之前已经设置了密码 那这里可以跳过,SSL不会对已经设置的密码造成什么影响

因为设置密码的命令将通过不安全的HTTP与集群通信,所以在为HTTP通信启用TLS/SSL之前,需要完成内置用户密码的设置。可以使用以下命令设置内置用户密码

bin/elasticsearch-setup-passwords interactive
// 或自动生成并设置密码
bin/elasticsearch-setup-passwords auto

请务必记住为每个内置用户分配的密码:

Changed password for user apm_system
PASSWORD apm_system = RHAZfygyiDV4IeF7VvgB
// 用于kibana组件获取相关信息用于web展示
Changed password for user kibana
PASSWORD kibana = kCXmcWjxdGyjdhJWQ9jA
// 用于logstash服务获取elasticsearch的监控数据
Changed password for user logstash_system
PASSWORD logstash_system = XDGslllTWzKBneY7LAtZ
// 用于在Elasticsearch中存储监控信息
Changed password for user beats_system
PASSWORD beats_system = VCMmSzm078qWcA9CEgGI
Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = PKb0qzZ4txJWLyE67qeQ
// 超级管理员,拥有所有权限
Changed password for user elastic
PASSWORD elastic = jBvQ9UMngerYnas0Br0s

配置HTTP层TLS/SSL加密传输

对于HTTP层通信,Elasticsearch节点仅用作服务器,因此可以使用服务器证书,即TLS/SSL证书不需要启用客户端身份验证。值得注意的是,用于加密HTTP通信的证书可以完全独立于用于传输通信的证书。为了简化操作,我们使用与已用于传输通信的相同的证书,即在elasticsearch.yml文件中配置如下:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12

重新启动集群中的所有Elasticsearch节点才能使更改生效。

配置Kibana到Elasticsearch的校验

生成PKI客户端证书

将用于PKI身份验证的证书必须由与用于加密HTTP通信的证书相同的CA进行签名。因为我们已经使用了自签名CA,所以我们必须还使用之前的elastic-stack-ca.p12CA来签署HTTP客户端证书。如下所示:

输入密码那一块直接回车,不要设置密码 启动会报错

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 
ENTER
ENTER
ENTER

mv elastic-certificates.p12  client.p12
与之前的密钥分开命名

这将创建一个名为elastic-certificates.p12的文件,其中包含对我们的Elasticsearch集群进行PKI身份验证所需的所有信息。 但是,为了使用此证书,需要将其分解为其私钥,公共证书和CA证书:

// Private Key 私钥
openssl pkcs12 -in client.p12 -nocerts -nodes > client.key
// Public Certificate 公共证书
openssl pkcs12 -in client.p12 -clcerts -nokeys  > client.cer
// CA Certificate 签署公共证书的CA
openssl pkcs12 -in client.p12 -cacerts -nokeys -chain > client-ca.cer

配置Kibana到Elasticsearch的校验

现在Elasticsearch集群上启用了安全特性,因此必须启用Kibana安全特性并配置为通过HTTPS向集群进行身份验证。在Kibana中创建config/certs目录,并将生成的客户端证书复制到目录中,并将以下行添加到我们的kibana.yml文件中:

elasticsearch.url: "https://localhost:9200" #ensure https 
xpack.security.enabled: true
elasticsearch.username: "kibana"
elasticsearch.password: "XXXXXX"
elasticsearch.ssl.certificate: config/certs/client.cer
elasticsearch.ssl.key: config/certs/client.key
elasticsearch.ssl.certificateAuthorities: [ "config/certs/client-ca.cer" ]
elasticsearch.ssl.verificationMode: certificate

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281588
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elasticsearch+Kibana安全配置详解
qq_27639777的博客
08-04 6936
文章目录简介启用Elasticsearch安全特性配置传输层TLS/SSL加密传输设置内置用户密码配置HTTP层TLS/SSL加密传输配置Kibana到Elasticsearch的校验生成PKI客户端证书配置Kibana到Elasticsearch的校验配置Kibana UI的SSL加密传输 简介 对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供...
Elastic Stack.zip
06-23
Elastic Stack,通常被称为ELK Stack,是三个开源软件的集合,它们分别是Elasticsearch、Logstash和Kibana,以及近来加入的Beats。这个组合提供了强大的日志管理和数据分析能力,广泛应用于日志分析、监控、安全...
Elasticsearch报错汇总
weixin_49076273的博客
03-04 2154
问题:bootstrap check failure [1] of [1]: Transport SSL must be enabled if security is enabled. Please set [xpack.security.transport.ssl.enabled] to [true] or disable security by setting [xpack.security.enabled] to [false]
elasticsearch 集群权限管理
weixin_43931625的博客
01-18 1578
elasticsearch集群权限管理 ***************************** ssl配置:官网链接 cluster基础版本使用x-pack功能,需要开启ssl,如不开启会报错: Transport SSL must be enabled if security is enabled on a [basic] license. Please set...
ES安全漏洞解决
weixin_45367149的博客
09-03 5424
1、前言 ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞。Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通
ElasticSearch7.14设置内置用户,使用用户名密码访问
fen_fen的专栏
03-03 5543
ElasticSearch7.14设置内置用户,使用用户名密码访问 前提:已安装elasticsearch,并可使用http:ip:9200访问 设置内置用户步骤: 1、开启x-pack验证,重启 elasticsearch服务 修改config目录下面的elasticsearch.yml文件,添加如下代码到文件末,开启x-pack验证 重启 elasticsearch服务 2、设置用户名和密码的命令 这里需要为4个用户分别设置密码,elastic, kibana, logstash_sys
Elastic:使用Kafka部署Elastic Stack
01-20
在IT领域,Elastic Stack(也称为ELK Stack)是一个流行的解决方案,用于收集、解析、存储和可视化各种日志数据。Elastic StackElasticsearch、Logstash、Kibana和Beats等组件组成。本篇文章主要探讨的是如何在...
elasticstack部署完全版
09-19
elasticstack部署完全版,包含HA的方式(kafka缓存日志的方式)
精通ElasticStack
07-23
资源名称:精通Elastic Stack 内容简介:本书系统论述了Exadata原理、架构及其实施运维实践。全书分为4章,分别对应Exadata实施运维中的四个不同主题。第1章为Exadata刷机安装,简要地介绍Exadata的历史和软硬件...
您进入 Elastic Stack 的窗口
06-08
Kibana Kibana 是您了解 Elastic Stack 的窗口。 具体来说,它是一个基于浏览器的 Elasticsearch 分析和搜索仪表板。 开始使用 Kibana 发布构建和运行 Kibana,和/或贡献代码文档版本与 Elasticsearch 的兼容性问题...
Elasticsearch设置密码
冰糖的博客
06-17 3034
ES默认没有开启安全组件,如果我们的es直接暴露在公网,那么开启认证是很有必要的。
Elasticsearch - Configuring security in Elasticsearch 开启用户名和密码访问
热门推荐
小工匠
02-17 2万+
ES版本:7.6官方指导手册:翻译一下:验证当前版本是否支持安全功能是否打开安全设置基于FIPS的一些验证配置节点间通讯传输的安全性配置内置用户的密码选择用户验证用户身份的领域类型设置角色和用户以控制对Elasticsearch的访问启用审核以跟踪与Elasticsearch集群的尝试和成功的交互如果只是启用账号密码, 只需要如下几个步骤验证当前版本是否支持安全功能是否打开安全设置配置节点间通讯传输的安全性配置内置用户的密码。
胎教级Elasticsearch集群+安全配置+ssl配置,Kibana集群+安全配置+ssl配置
weixin_44742630的博客
09-28 6694
Elasticsearch部署及配置 1. 环境规划 IP地址 系统版本 角色 主机名 10.0.0.10 centos 8.4 es-node1 es00 10.0.0.11 centos 8.4 es-node2 es01 10.0.0.12 centos 8.4 es-node3 es02 10.0.0.15 centos 8.4 kibana-node1 kb01 10.0.0.16 centos 8.4 kibana-node2 kb02 2. 先决条件 1.
Elasticsearch安全策略-开启密码账号访问
大风的博客
12-14 2万+
关于版本 内容 版本 Elasticsearch版本 7.2.0 Elasticsearch 启用安全策略 根据官方文档,Elasticsearch 启用安全策略需要下面的步骤。 验证当前版本是否支持安全功能 是否打开安全设置 基于FIPS的一些验证 配置节点间通讯传输的安全性 配置内置用户的密码 选择用户验证用户身份的领域类型 设置角色和用户以控制...
Elasticsearch:配置 TLS/SSL 和 PKI 身份验证
Elastic 中国社区官方博客
10-08 6648
当为使用生产许可证运行的集群启用 Elasticsearch 安全性时,必须使用 TLS/SSL 进行传输通信,并且必须正确设置。此外,一旦启用安全性,与 Elasticsearch 集群的所有通信都必须经过身份验证,包括来自 Kibana 和/或应用程序服务器的通信。 Kibana 和/或应用程序服务器向 Elasticsearch 集群进行身份验证的最简单方法是在其配置文件或源代码中嵌入用户名和密码。但是,在许多组织中,禁止在此类位置存储用户名和密码。在这种情况下,一种替代方法是使用公钥基础设施 (P
Centos 7 通过 targz 文件安装 Elastic Search 服务
2301_78287784的博客
06-09 220
区别于通过发行版自带的仓库, 介绍如何通过 targz 文件安装 Elastic Search 服务, 使用的 Linux 为 Centos 7。
elasticsearch-7.x使用xpack进行安全认证
小鲍侃java
01-22 2万+
20195月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。 这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana提供全面保护。 免费提供的核心安全功能如下: 1)TLS 功能。 可对通信进行加密; 2)文件和原生 Realm。 可用于创建和管理用户; 3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限; 通过针对 Kiba
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
最新发布
h952520296的博客
11-14 3543
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
精通Elastic Stack:日志管理与监控实战
"Beginning Elastic Stack" 是一本专为那些需要管理和监控多服务器日志的初学者准备的书籍,主要介绍了Elastic Stack(包括Elasticsearch、Logstash和Kibana)的安装、配置和实施。这本书由Vishal Sharma撰写,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值