Java配置11-elasticsearch未授权访问漏洞修复

最新推荐文章于 2024-08-12 16:17:10 发布
最新推荐文章于 2024-08-12 16:17:10 发布
阅读量5.3k 收藏 6
点赞数 1
分类专栏: Java配置 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustDI0209/article/details/122418244
版权

目录

1.现状

2.下载安装包

3.安装配置elasticsearch

4.安装配置logstash

5.安装配置kibana

 ​

1.现状

        先前安装的elk是6.2.4版本的,只做了最基本的配置,前段时间公司检测出安装的elasticsearch有未经授权访问的漏洞,并限期修复。
查了一些资料,发现在7.2.0版本的elk中默认安装了xpack,免费的,基本可以满足需求。

2.下载安装包

elk官网:https://www.elastic.co/cn/products/
下载的是7.2.0版本,上传至原有的elk服务器,并停止原有的服务。

3.安装配置elasticsearch

解压

tar -xzvf elasticsearch-7.2.0.tar.gz

进入解压后的config文件夹,修改elasticsearch.yml

#ip
network.host: 0.0.0.0
##端口
http.port: 9200
##主要用于集群配置,多台服务器配置名称不可相同
node.name: node-1
#cluster.initial_master_nodes: ["node-1"]
#存放数据的目录,自定义即可
path.data: /home/XX/edata
#存放日志的目录,自定义即可
path.logs: /home/XX/elog

#Centos6不支持SecComp,而ES默认bootstrap.system_call_filter为true进行检测,所以导致检测失败,失败后直接导致ES不能启动解决
bootstrap.memory_lock: false
bootstrap.system_call_filter: false

#xpack启用
xpack.security.enabled: true
#单例模式
discovery.type: single-node

保存退出,进入bin文件夹,执行命令

./elasticsearch -d

稍等一会,再执行命令

./elasticsearch-setup-passwords interactive

配置密码
elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user,密码记好,后面要用。

然后访问elasticsearch
http://10.XX.XX.XX:9200/
弹出登录页面,可使用用户elastic登录

登录成功后,出现下面的页面

 

4.安装配置logstash

解压

tar –zxvf logstash-7.2.0.tar.gz

进入解压后的config文件夹,修改logstash.yml

vim logstash.yml

添加以下信息

xpack.monitoring.enabled: true
xpack.monitoring.elasticsearch.username: "elastic"
xpack.monitoring.elasticsearch.password: "elasticpwd"
xpack.monitoring.elasticsearch.hosts: ["http://10.XX.XX.XX:9200"]

保存退出,创建kafka.conf(我们这边是logstash从kafka拿取日志消息,然后放入elasticsearch)
添加以下信息

input {
    kafka{
        bootstrap_servers => ["10.XX.XX.XX:9092"]
        client_id => "logback-kafka"
        auto_offset_reset => "latest"
        consumer_threads => 5
        decorate_events => true
        topics => ["test-logs"]
        codec => "json"
    }
}
filter {
       # pattern matching logback pattern
       grok {
              match => { "message" => "%{TIMESTAMP_ISO8601:timestamp}\s+%{LOGLEVEL:severity}\s+\[%{DATA:service},%{DATA:trace},%{DATA:span},%{DATA:exportable}\]\s+%{DATA:pid}\s+---\s+\[%{DATA:thread}\]\s+%{DATA:class}\s+:\s+%{GREEDYDATA:rest}" }
       }
}
output {
    elasticsearch {
        user => elastic
        password => elasticpwd
        hosts => ["10.XX.XX.XX:9200"]
        index => "test-%{+YYYY-MM-dd}"
    }
}

保存退出,进入bin文件夹,执行命令

nohup ./logstash -f ../config/kafka.conf &

执行命令,跟踪日志

tail -f nohup.out

没出错即为成功

5.安装配置kibana

解压

tar -zvxf kibana-7.2.0.tar.gz

 进入解压后的config文件夹,修改kibana.yml
添加以下信息

server.port: 5601
server.host: "10.XX.XX.XX"
elasticsearch.hosts: ["http://10.XX.XX.XX:9200"]
logging.dest: /home/XX/kibanalog/kibana.log
#中文
i18n.locale: "zh-CN"
#用户名为kibana,密码是刚才在elasticsearch的bin文件夹下执行命令生成的
elasticsearch.username: "kibana"
elasticsearch.password: "kibanapwd"

保存退出,进入bin文件夹,执行命令

./kibana &

访问kibana页面
http://10.XX.XX.XX:5601/

使用elastic登录即可

 

其他问题:

如果系统为centos7以下,启动kibana时会报错,可参考下面的处理:

ELK | Kibana启动报错 libc.so.6: version GLIBC_2.14 not found_MyBlog-CSDN博客

安装glibc,可使用root用户,或者有sudo权限的用户,我尝试安装时,使用普通用户,在执行命令

make install 

报错没有权限。

JustDI-CM
关注
专栏目录
web渗透测试漏洞复现:Elasticsearch授权漏洞复现
HACKONE的博客
03-18 2922
Elasticsearch 是一款 Java 编写的企业级搜索服务,它以分布式多用户能力和全文搜索引擎为特点,采用 RESTful web 接口。这款搜索引擎由 Java 开发,作为 Apache 许可下的开源软件发布,是流行的企业级搜索引擎之一。Elasticsearch 的增删改查操作都通过 http 接口完成。开源的版本可能存在授权访问漏洞。这意味着攻击者可能获得 Elasticsearch 的所有权限,从而能够对数据进行任意操作。这可能导致业务系统中的敏感数据泄露、数据丢失、数据损坏。
XXL-JOB executor 授权访问漏洞复现
m0_53603468的博客
12-25 2930
概述 XXL-JOB executor 授权访问漏洞 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,授权的攻击者可以通过RESTful API执行任意命令。 不过XXL-JOB官方版本原生自带了鉴权组件,开启后可保障系统底层通讯安全。因此,正常情况下调度中心与执行器底层通讯是安全
Windows下Elasticsearch授权访问【原理扫描】漏洞修复
star的博客
07-09 3329
Elasticsearch漏洞扫描结果如下: 根据给出的解决办法,验证之后发现漏洞无法修复elasticsearch-http-basic就提供了针对ES HTTP连接的IP白名单、密码权限和信任代理功能。 支持版本如下: 发现高版本的elasticsearch不支持elasticsearch-http-basic插件。 elasticsearch6.8及以上版本默认有x-pack认证插件,X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器学习和.
Elasticsearch授权访问
内心不种满鲜花就会长满杂草
01-12 4461
什么是Elasticsearch Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。 详细请看:https://www.elastic.co/cn/what-is/elasticsearch 漏...
授权访问漏洞系列详解
Jz031212的博客
08-05 1588
而我们这章的主题Kibana担任视图层角色,拥有各种维度的查询和分析并使用图形化的界面展示存放在Elasticsearch中的数据。2.使用TLS认证修改docker swarm的认证方式,使用TLS认证:Overview Swarm with TLS 和 Configure DockerSwarm for TLS这两篇文档,说的是配置好TLS后,Docker CLl在发送命令到docker daemon之前,会首先发送它的证书,如果证书是由daemon信任的CA所签名的,才可以继续执行。
Elasticsearch 授权访问漏洞修复
LIARRR的博客
02-09 8196
es Elasticsearch 授权访问漏洞修复 X-Pack
Elasticesarch授权访问修复
weixin_43966996的博客
05-08 2247
通过iptables限制Elasticesarch授权访问
elasticsearch授权访问 验证
最新发布
qll71的博客
08-12 427
内网渗透测试利用Fscan扫出来elasticsearch授权访问对其进行验证。
ElasticSearch授权访问
打代码的小女孩
11-17 7309
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
Kibana授权访问漏洞复现、CVE-2019-7609 Kibana远程代码执行漏洞复现
热门推荐
weixin_43061533的博客
12-25 1万+
0x01 漏洞简述 Kibana如果允许外网访问,没有做安全的登录认证,也会被外部随意访问查看所有的数据,造成少数据泄露。在默认配置下,Kibana就可以访问Elasticsearch中的所有数据。 0x02 知识扩展 Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是各种不同的图表、表格、地图等,直观的展示数据,从而达到高级的数据分析
授权访问漏洞笔记
m0_47599604的博客
04-05 1660
授权访问 介绍 授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 B/S架构中 一般存在后台界面中,访问特定目录下的敏感文件,能直接跳过管理员登录,去访问后台管理内容。 C/S架构中 一般存在默认安装的一些客户端应用程序中,安装人员因缺少安全意识导致攻击者利用。 数据库...
Elasticsearch授权访问漏洞
weixin_57524749的博客
08-05 542
2.在 config/elasticsearch.yml 中为9200端口设置认证等。fofa语法"Elasticsearch" && port="9200"步骤二:存在授权访问则直接进入到信息页面...不需要输入用户密码登陆.步骤一:使用以下Fofa语法进行Elasticsearch产品搜索..1.访问控制策略,限制IP访问,绑定固定IP。》》》漏洞修复《《《
ElasticSearch单机或集群授权访问漏洞
爱辉弟的博客
12-18 3803
ElasticSearch授权访问漏洞,使用系统防火墙来做限制只允许ES集群和Server节点的IP来访问漏洞节点的9200端口,其他的全部拒绝。并在ES节点上设置用户密码
Elasticsearch 授权访问漏洞复现】
一纸荒芜的博客
10-31 7081
Elasticsearch 授权访问漏洞
搭建elasticsearch配置java11环境
qq_41243979的博客
04-12 1483
方式一 是直接把系统的java环境改为java11. 方式二, 系统环境保持为java8,修改elasticsearch配置文件,让它启动时选择java11的环境 https://www.jianshu.com/p/6ddeae547f45 CentOS7 安装 ElasticSearch7.10 配置系统java11环境 参考 通过yum安装 CentOS7 安装 ElasticSearch7.10 步骤 elasticsearch不能用root用户启动,所以不能在/root目录下操作 下载JD
授权访问Elasticsearch 授权访问漏洞
qq_68163788的博客
05-19 2924
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在授权访问漏洞
Elasticsearch授权访问漏洞(Es授权访问)
m0_67394360的博客
09-06 4840
Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。自动化脚本扫描到这些受保护的系统之后,便会尝试连接至其后端数据库,并尝试删除其中存储的数据,最后创建一个名为网址“nightlionsecurity.com”的新的空白索引。近来,有一名黑客渗透进了大量暴露在互联网中并且没有任何密码保护的Elasticsearch服务器,并尝试删除其中存储的数据。
Elasticsearch 授权访问【原理扫描】
aa1662915585的博客
03-22 3471
背景 公司申请了几台华为的云服务器鲲鹏通用计算增强型,并部署了一套项目,在测试阶段,主机安全扫描时发现了一个高危漏洞Elasticsearch 授权访问【原理扫描】。因为自己在网上花了几天时间也没找到实际解决办法,后面问了群里大佬,指点了一下思路,最后完美解决,所以写一篇文章记录一下,希望能帮到大家吧。 详细描述 ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为A
Elasticsearch 授权访问漏洞
龙卷风摧毁停车场
03-08 5898
ElasticSearch 是一款 Java 编写的企业级搜索服务,启动此服务默认开放 HTTP-9200 端口,可被非法操作数据。
Elasticsearch授权访问漏洞复现
05-18
Elasticsearch授权访问漏洞是指攻击者可以通过访问Elasticsearch的默认端口(9200)获取敏感信息,甚至可以对数据进行修改和删除。下面是一个简单的复现过程: 1. 下载安装Elasticsearch 首先需要下载并安装Elasticsearch,可以从官网 https://www.elastic.co/downloads/elasticsearch 下载适合自己操作系统的版本。安装完成后启动Elasticsearch。 2. 测试授权访问 使用curl命令访问Elasticsearch的默认端口,可以看到返回的json格式数据,其中包含了Elasticsearch的版本信息、集群名称等。 ``` curl http://localhost:9200/ ``` 如果返回的结果中包含了类似以下内容,说明Elasticsearch存在授权访问漏洞。 ``` { "name" : "node-1", "cluster_name" : "elasticsearch", "cluster_uuid" : "zZl94mWlQq6RQlN4WmAz5w", "version" : { "number" : "7.9.3", "build_flavor" : "default", "build_type" : "tar", "build_hash" : "c4138e51121ef06a6404866cddc601906fe5c868", "build_date" : "2020-10-16T10:36:16.141335Z", "build_snapshot" : false, "lucene_version" : "8.6.2", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" }, "tagline" : "You Know, for Search" } ``` 3. 利用授权访问漏洞 利用授权访问漏洞可以进行一些危害性较大的操作,比如删除数据、创建索引等。这里我们只演示一下获取敏感信息的操作。 使用curl命令访问Elasticsearch中的某个索引,可以看到其中包含了一些敏感信息,比如用户名、密码等。 ``` curl http://localhost:9200/_cat/indices ``` 如果返回的结果中包含了类似以下内容,说明存在敏感信息泄露。 ``` yellow open .kibana_task_manager_1 6rJQh5E8R0yUH9WdPQzLrw 1 1 3 0 35.4kb 35.4kb yellow open .kibana_1 5QZvZnS-QOyvZBTl2t6bKg 1 1 2 0 13.4kb 13.4kb ``` 4. 解决方法 为避免Elasticsearch授权访问漏洞,可以进行以下操作: - 修改配置文件中的network.host配置,限制Elasticsearch只能在特定的IP地址或网段上运行。 - 启用Elasticsearch的安全特性,比如启用访问控制、数据加密等。 以上是Elasticsearch授权访问漏洞的简单复现过程,希望对您有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值