SearchGuard控制ElasticSearch集群访问权限——ElasticSearch-6.5.4

最新推荐文章于 2024-05-07 13:14:33 发布
最新推荐文章于 2024-05-07 13:14:33 发布
阅读量1.6k 收藏 6
点赞数
分类专栏: ElasticSearch 文章标签: ElasticSearch 6.5.4 集群部署 权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jinghua_Guo/article/details/97395692
版权
本文详细介绍了如何在ElasticSearch 6.5.4集群上部署Search Guard,实现权限控制。从背景、软件介绍、集群搭建到Search Guard插件配置和安全管理,每个步骤都有清晰的操作指南,确保ElasticSearch在公网环境下的安全运行。
摘要由CSDN通过智能技术生成

目录

1. 背景

2. 软件介绍

2.1 ElasticSearch

2.2 Search Guard

3. 架构规划

4. 软件下载地址

5. 搭建ElasticSearch集群

5.1 上传软件包并解压缩

5.2 同步时间

 5.3 开放ElasticSearch端口

5.4 修改系统参数

5.5 创建ElasticSearch用户

 5.6 修改ElasticSearch参数

5.6.1  node-1节点

5.6.2 node-2节点

5.6.3 node-3节点

5.7 启动ElasticSearch

5.8 验证集群是否搭建成功

6. 配置ElasticSearch 的search-guard插件

6.1 上传插件包

6.2 安装Search Guard

6.3 在线生成Search Guard证书

6.4 创建证书目录

6.5 上传证书文件

6.6 将Search Guard语言配置在ElasticSearch中

6.7 设置权限因子

6.8 验证

7. Search Guard的相关配置

7.1 修改管理用密码

7.1.1 使用工具生产加密密码

7.1.2 修改配置文件

7.1.3 设置生效

众所周知,ElasticSearch设计之初就定位在纯私网环境而不做权限和安全控制呢。ElasticSearch如果设置不当,则存在较为严重的安全风险!有两种访问ElasticSearch的方式:使用默认端口为9300的TCP模式和使用默认端口为9200的HTTP模式。然而在同ElasticSearch服务器进行通信的过程中,通信流量是明文形式的,没有加密;更为严重的是,如果不做任何防护措施地将ElasticSearch暴露在公网上,那么对它的访问将没有任何安全认证,任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查。

安全策略网络层除却“内鬼”的因素,攻击基本都是通过外部网络,所以这里是保障ElasticSearch安全的第一道屏障。相信大家都有自己的网络安全策略,硬件防火墙也好,软件防火墙也罢,按照自己的需求做好设置和维护即可。

 所以要避免黑客入侵的最有力的手段,也是最后一层屏障,那就是用户及权限认证。ElasticSearch本身没有用户及权限认证体系,虽然官方提供了自己的权限管理系统—— Shield, 但是它——收费!本篇文章就是介绍如何使用Search Guard对ElasticSearch集权做权限认证。

1. 背景

ElasticSearch集群在暴露了一个节点的IP和端口就可以对整个集群进行各种操作,删索引、改数据等。在重要的项目应用中,需要防范这一点。

目前常见的安全防范方式有:

  • X-Pack ElasticSearch Security,收费License
  • Search Guard,免费开源

下面就Search Guard,将其最小化安装到ES集群。

2. 软件介绍

 

2.1 ElasticSearch

 

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。

ElasticSearch使用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。

2.2 Search Guard

Search Guard是ElasticSearch的安全插件,它支持ES客户端认证、后端系统授权,并增加审计日志,提供文档/字段级别的安全保障。

Search Guard中,所有的基础安全特性都是免费的,但如果想在商业项目中使用一些企业级安全特性,需要付费得到Search Guard的官方授权。

  • 基础特性:
    • 节点-节点间的加密(SSL/TSL)
    • 安全的REST访问(HTTPS)
    • 灵活的REST访问控制(User/Role; aliases&indices&types)
    • HTTP基础认证
    • HTTP代理认证
    • HTTP SSL/CLIENT-CERT认证
    • XFF支持
    • 内部认证/授权
    • 匿名登录/未经验证的访问  
    • 用户模仿
  • 企业级特性:
    • HTTP SPNEGO/Kerberos认证
    • LDAP/Active Directory身份验证/授权
    • Document安全(DLS):只检索匹配安全标准的文件
    • Field安全:从索引响应中过滤掉Field
    • JSON网络令牌支持
    • 审计日志

3. 架构规划

  1. 操作系统:CentOS 6.8
  2. ElasticSearch 6.5.4
  3. Search Guard 25.1
  4. 主机地址:*.*.*.1(node-1)、*.*.*.2(node-2)、*.*.*.3(node-3)

4. 软件下载地址

  1. Elasticsearch:https://www.elastic.co/downloads
  2. Search Guard:https://github.com/floragunncom/search-guard/tree/es-6.5.4

5. 搭建ElasticSearch集群

5.1 上传软件包并解压缩

使用FTP工具上传elasticsearch-6.5.4.zip至~目录。使用以下命令解压缩:

[node-1@localhost ~]$ tar -zxvf elasticsearch-6.5.4.zip

5.2 同步时间

三个节点都需要执行:

[node-1@localhost ~]$ ntpdate time.windows.com

 5.3 开放ElasticSearch端口

三个节点都需要执行:

  1. (1)检查防火墙是否打开:

firewall-cmd –state

如果防火墙是关闭的,跳过该步骤。

(2)开放Elasticsearch必要的端口:

开放9200端口:

firewall-cmd --zone=public --permanent --add-port=9200/tcp

开放9300端口

firewall-cmd --zone=public --permanent --add-port=9300/tcp

(3)重启防火墙:

firewall-cmd –reload

5.4 修改系统参数

(1)修改/etc/sysctl.conf文件:

vim /etc/sysctl.conf编辑文件,加入以下内容:

#  开启对于TCP时间戳的支持,若该项设置为0,则下面一项设置不起作用

net.ipv4.tcp_timestamps = 1

#  表示开启TCP连接中TIME-WAIT sockets的快速回收

net.ipv4.tcp_tw_recycle = 1

#  表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭

net.ipv4.tcp_syncookies = 1
最低0.47元/天 解锁文章
JustinGedehuo
关注
专栏目录
elasticsearch-6.5.4集群搭建
07-12 577
安装elasticsearch-6.5.4 elasticsearch-6.5.4集群搭建 centos7
Elasticsearch集群部署以及认证配置
最新发布
xjxy52o的博客
05-23 1296
在其中一台机器上执行,我这里在 192.168.95.174 node-01节点机器操作,我这里密码全部设置为(123456)去到cd /path/elasticsearch-7.10.1/bin。配置systemd服务启动es。
es5.6.4添加search-guard插件
04-20
es5.6.4添加search-guard插件教程,es5.6.4添加search-guard插件教程
elasticsarch6.5.4安装插件 searchguard和elasticsearh-head插件安全性问题
weixin_33910137的博客
01-25 287
2019独角兽企业重金招聘Python工程师标准>>> ...
es6.6.1匹配Search Guard
sinat_39562444的博客
03-06 921
最近企业多次发生es数据泄露事件,因为es数据库本身并没有防范机制。目前常见的安全防范方式有 X-Pack Elasticsearch Security,收费License Search Guard,免费开源 下面就Search Guard,将其最小化安装到es集群。 版本 elasticsearch-6.6.1.rpm search-guard-6-6.6.1-24.1.zip 针对不同版...
浅谈Elasticsearch安全和权限管理
wangluoanquan111的博客
03-12 1663
除了预定义的角色外,还可以创建自定义角色。例如,创建一个名为read_only创建一个名为。
elasticsearch6.5.4配置 ik 和 search-guard
01-08
开源分布式搜索引擎elasticsearch 和中文分词器安全认证 search-guard 配置
Elasticsearch-6.5.4集群安装部署
weixin_38846022的博客
10-09 1108
ES集群安装部署 硬件选择 环境选择 集群名称:phone_his_log ElasticSearch安装需要JDK,本文的ElasticSearch版本为6.5.4,JDK为1.8. 服务器ip 节点属性 分配JVM内存 节点名称 节点端口 192.169.0.23 Data1节点 8GB data1 9200/9300 Master1节点 2GB master1 92...
elasticsearch-6.5.4,filebeat-6.5.4,kibana-6.5.4,logstash-6.5.4
07-28
标题和描述中提到的"elasticsearch-6.5.4", "filebeat-6.5.4", "kibana-6.5.4", "logstash-6.5.4"是 Elastic Stack(以前称为 ELK Stack)的四个关键组件的特定版本。Elastic Stack 是一个用于日志管理和分析的强大...
elasticsearch-6.5.4.zip elasticsearch-analysis-ik-6.5.4
06-26
此压缩包包含了两个关键组件:Elasticsearch本身和一个重要的插件——elasticsearch-analysis-ik。 elasticsearch-6.5.4.tar.gz是Elasticsearch的基础安装文件,这个版本主要特点包括: 1. **性能提升**:6.5.4...
ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控
tzq_Engineer的博客
02-25 1214
ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控 由于官方的X-pack收费,所以退而求其次选择了SearchGuard作为ElasticSearch集群的安全权限管控组件。如果已经按照官网标准为ElasticSearch每个节点都安装好了SearchGuard插件 集群环境: 三台ElasticSearch节点版本5.4.3; ...
elasticsearch-2.3.5安装search-guard-2.3.5.15遇到的问题
wang_quan_li的专栏
08-31 1932
在没有启动elasticsearch时,执行如下操作会提示 elasticsearch-2.3.5# plugins/search-guard-2/tools/sgadmin.sh -cd plugins/search-guard-2/sgconfig/ -ks plugins/search-guard-2/sgconfig/node-0-keystore.jks -ts plugins/s
Elasticsearch集成Search Guard
qq_27130997的博客
09-07 706
前提 准备证书 下载插件 已经安装了Elasticsearch 关于路径说明及版本信息 Elasticsearch路径是 /opt/elasticsearch-7.8.0 插件位置是 /opt/search-guard-suite-plugin-7.8.0-43.2.0.zip Elasticsearch版本是 elasticsearch-7.8.0 安装插件 进入 bin目录 ...
elasticsearch + search-guard + filebeat + metricbeat + logstash + kibana ELK整体安装配置教程_metricbeat安装(1)
2401_84715583的博客
05-07 1040
到es的bin目录下执行 ./elasticsearch-plugin install -b file:///home/elk/elasticsearch/search-guard/search-guard-6-6.4.0-23.1.zip…….tar.gz -C。(4)将search-guard-6-6.7.1-25.1.zip和search-guard-certificates-(3)在es的目录下新建search-guard目录,在es的目录下的config目录下新建key目录。
elk权限控制_7. ELK安全配置(上)
weixin_33347102的博客
12-29 840
> ##### [感谢江榕分享](https://www.tuicool.com/articles/6fyU7bU)> ##### [感谢chenzanlong123](http://blog.csdn.net/chenzanlong123/article/details/11784143 "关于truststore和kenstore的区别") 关于truststore和kenstor...
ElasticSearch集群状态异常(Red、Yellow)原因分析
jsugs的博客
04-20 5591
注: 部分概念介绍来源于网络 一、ElasticSearch集群的三种状态: Green - 所有数据都可用,主副分片都已经分配好 Yellow - 所有数据都可用,但尚未分配一些副本,不影响查询,可能影响恢复。如果集群中的某个节点发生故障,则在修复该节点之前,某些数据可能不可用。 Red - 某些数据由于某种原因 存在主分片未分配,对查询会有影响 二、查询索引Yellow状态原因 1、查看集群的健康并显示索引状态 GET /_cluster/health?level=indices { "cl.
SearchGuard集群
刘军的博客
09-05 1063
在es下安装 (es版本6.5.4) 以下操作针对每台服务器 ####服务器hosts增加记录对应 认证的域名: dn: CN=node3.yibai.com,OU=Ops,O=yibai Com\, Inc.,DC=yibai,DC=com 192.168.10.61 node1.yibai.com 192.168.10.62 node2.yibai.com 192.168...
ELK6.7.2集成Search Guard6实现安全认证及权限管理
Hello_robotdog的博客
07-22 1440
基于公司需要搭建一套ELK日志管理系统,发现ELK安装后,ElasticSearch和kibana都是可以直接通过无密码访问的,这对于生产环境是及其不安全的,公司内部人员,没有权限划分,也是十分的不方便。而ELK的安全认证工具有很多,例如x-pack、shield等都是官方推荐的,但是要收钱,在免费的工具中,选择了Search Guard。本文主要讲ELK与Search Guard的集成,ELK的...
Elasticsearch 6.5.4集群部署指南
"搭建Elasticsearch集群的教程,包括在三台CentOS 7机器上配置和启动Elasticsearch,以及设置静态IP和主机名。" 在本文中,我们将深入探讨如何构建一个由三个节点组成的Elasticsearch集群Elasticsearch是流行的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值