Logstash之4 对于logstash-filter-cipher plugin关于AES-GCM算法的支持的改进

最新推荐文章于 2023-02-21 00:39:03 发布
最新推荐文章于 2023-02-21 00:39:03 发布
阅读量1k 收藏
点赞数
分类专栏: Logstash Java 后端 文章标签: Logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa905867914/article/details/103846574
版权

1. logstash-filter-cipher 4.0.0中延续了以往对AES-GCM算法的使用。但是在新的ruby版本中AES-GCM算法引入了对于auth_data和auth_flag的使用,因此Logstash版本在从5.x升级到6.x或者7.x时,ruby同时进行了升级,使用高版本的openssl, 无意中引入了auth_data和auth_flag。因此使用logstash-filter-cipher 4.0.0对数据加密依然是成功的,但是无法解密,因为解密过程无法获取auth_data和auth_flag。

2. 因此对于AES-GCM算法的支持可以将加密数据中保存auth_data和auth_flag。这是非常必须的,否则解密就无法实现。

新的GCM算法使用ruby加密解密。参见:

https://ruby-doc.org/stdlib-2.3.1/libdoc/openssl/rdoc/OpenSSL/Cipher.html#class-OpenSSL::Cipher-label-Instantiating+a+Cipher

https://pycryptodome.readthedocs.io/en/latest/src/cipher/modern.html#gcm-mode

3. 对cipher.rb源码文件(./vendor/bundle/jruby/2.5.0/gems/logstash-filter-cipher-4.0.0/lib/logstash/filters/cipher.rb)可以进行改写,具体实现如下:

# encoding: utf-8
require "logstash/filters/base"
require "openssl"

# This filter parses a source and apply a cipher or decipher before
# storing it in the target.
#
class LogStash::Filters::Cipher < LogStash::Filters::Base
  config_name "cipher"

  # The field to perform filter
  #
  # Example, to use the @message field (default) :
  # [source,ruby]
  #     filter { cipher { source => "message" } }
  config :source, :validate => :string, :default => "message"

  # The name of the container to put the result
  #
  # Example, to place the result into crypt :
  # [source,ruby]
  #     filter { cipher { target => "crypt" } }
  config :target, :validate => :string, :default => "message"

  # Do we have to perform a `base64` decode or encode?
  #
  # If we are decrypting, `base64` decode will be done before.
  # If we are encrypting, `base64` will be done after.
  #
  config :base64, :validate => :boolean, :default => true

  # The key to use
  #
  # NOTE: If you encounter an error message at runtime containing the following:
  #
  # "java.security.InvalidKeyException: Illegal key size: possibly you need to install
  # Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files for your JRE"
  #
  # Please read the following: https://github.com/jruby/jruby/wiki/UnlimitedStrengthCrypto
  #
  config :key, :validate => :string

  # The key size to pad
  #
  # It depends of the cipher algorithm. If your key doesn't need
  # padding, don't set this parameter
  #
  # Example, for AES-128, we must have 16 char long key. AES-256 = 32 chars
  # [source,ruby]
  #     filter { cipher { key_size => 16 }
  #
  config :key_size, :validate => :number, :default => 16

  # The character used to pad the key
  config :key_pad, :default => "\0"

  # The cipher algorithm
  #
  # A list of supported algorithms can be obtained by
  # [source,ruby]
  #     puts OpenSSL::Cipher.ciphers
  config :algorithm, :validate => :string, :required => true

  # Encrypting or decrypting some data
  #
  # Valid values are encrypt or decrypt
  config :mode, :validate => :string, :required => true

  # Cipher padding to use. Enables or disables padding.
  #
  # By default encryption operations are padded using standard block padding
  # and the padding is checked and removed when decrypting. If the pad
  # parameter is zero then no padding is performed, the total amount of data
  # encrypted or decrypted must then be a multiple of the block size or an
  # error will occur.
  #
  # See EVP_CIPHER_CTX_set_padding for further information.
  #
  # We are using Openssl jRuby which uses default padding to PKCS5Padding
  # If you want to change it, set this parameter. If you want to disable
  # it, Set this parameter to 0
  # [source,ruby]
  #     filter { cipher { cipher_padding => 0 }}
  config :cipher_padding, :validate => :string

  # Force an random IV to be used per encryption invocation and specify
  # the length of the random IV that will be generated via:
  #
  #       OpenSSL::Random.random_bytes(int_length)
  #
  # Enabling this will force the plugin to generate a unique
  # random IV for each encryption call. This random IV will be prepended to the
  # encrypted result bytes and then base64 encoded. On decryption "iv_random_length" must
  # also be set to utilize this feature. Random IV's are better than statically
  # hardcoded IVs
  #
  # For AES algorithms you can set this to a 16
  # [source,ruby]
  #     filter { cipher { iv_random_length => 16 }}
  config :iv_random_length, :validate => :number, :required => true

  # If this is set the internal Cipher instance will be
  # re-used up to @max_cipher_reuse times before being
  # reset() and re-created from scratch. This is an option
  # for efficiency where lots of data is being encrypted
  # and decrypted using this filter. This lets the filter
  # avoid creating new Cipher instances over and over
  # for each encrypt/decrypt operation.
  #
  # This is optional, the default is no re-use of the Cipher
  # instance and max_cipher_reuse = 1 by default
  # [source,ruby]
  #     filter { cipher { max_cipher_reuse => 1000 }}
  config :max_cipher_reuse, :validate => :number, :default => 1

  #Add auth_data for gcm algorithm
  config :auth_data, :validate => :string, :default => ""

  def register
    require 'base64' if @base64
    init_cipher
  end # def register


  def filter(event)


    #If decrypt or encrypt fails, we keep it it intact.
    begin

      if (event.get(@source).nil? || event.get(@source).empty?)
        @logger.debug("Event to filter, event 'source' field: " + @source + " was null(nil) or blank, doing nothing")
        return
      end

      #@logger.debug("Event to filter", :event => event)
      data = event.get(@source)
      if @mode == "decrypt"
        data =  Base64.strict_decode64(data) if @base64 == true
        @random_iv = data.byteslice(0,@iv_random_length)

        if @algorithm.include? "gcm"
          auth_tag_length = 16
          @cipher.auth_tag = data.byteslice(data.length-@iv_random_length..data.length)
          data = data.byteslice(@iv_random_length..data.length-auth_tag_length-1)
        else
          data = data.byteslice(@iv_random_length..data.length)
        end

      end

      if @mode == "encrypt"
        @random_iv = OpenSSL::Random.random_bytes(@iv_random_length)
      end

      @cipher.iv = @random_iv

      result = @cipher.update(data)+@cipher.final

      if @mode == "encrypt"

        # if we have a random_iv, prepend that to the crypted result

        if !@random_iv.nil?
          result = @random_iv + result
        end
        if @algorithm.downcase.include? "gcm" or @algorithm.downcase.include? "ccm"
          result = result + @cipher.auth_tag
          @logger.debug("Cipher auth_tag length: ", :auth_tag_length => @cipher.auth_tag.length)
        end
        result =  Base64.strict_encode64(result).encode("utf-8") if @base64 == true
      end
      @logger.debug("Cipher algorithm: ", :algorithm => @algorithm)
    rescue => e
      @logger.warn("Exception catch on cipher filter", :event => event, :error => e)

      # force a re-initialize on error to be safe
      init_cipher

    else
      @total_cipher_uses += 1

      result = result.force_encoding("utf-8") if @mode == "decrypt"

      event.set(@target, result)

      #Is it necessary to add 'if !result.nil?' ? exception have been already catched.
      #In doubt, I keep it.
      filter_matched(event) if !result.nil?

      if !@max_cipher_reuse.nil? and @total_cipher_uses >= @max_cipher_reuse
        @logger.debug("max_cipher_reuse["+@max_cipher_reuse.to_s+"] reached, total_cipher_uses = "+@total_cipher_uses.to_s)
        init_cipher
      end

    end
  end # def filter

  def init_cipher

    if !@cipher.nil?
      @cipher.reset
      @cipher = nil
    end

    @cipher = OpenSSL::Cipher.new(@algorithm)

    @total_cipher_uses = 0

    if @mode == "encrypt"
      @cipher.encrypt
    elsif @mode == "decrypt"
      @cipher.decrypt
    else
      @logger.error("Invalid cipher mode. Valid values are \"encrypt\" or \"decrypt\"", :mode => @mode)
      raise "Bad configuration, aborting."
    end

    if @key.length != @key_size
      @logger.debug("key length is " + @key.length.to_s + ", padding it to " + @key_size.to_s + " with '" + @key_pad.to_s + "'")
      @key = @key[0,@key_size].ljust(@key_size,@key_pad)
    end

    @cipher.key = @key

    @cipher.padding = @cipher_padding if @cipher_padding

    if @algorithm.downcase.include? "gcm"
      @cipher.auth_data = @auth_data
      @logger.debug("Cipher initialisation auth_data: ", :auth_data => @auth_data)
    end

    @logger.debug("Cipher initialisation done", :mode => @mode, :key => @key, :iv_random_length => @iv_random_length, :iv_random => @iv_random, :cipher_padding => @cipher_padding)
  end # def init_cipher


end # class LogStash::Filters::Cipher

4. AES-GCM加密文件、解密文件配置:

input { stdin { } }
filter {
  cipher {
    mode => "encrypt"
    algorithm => "aes-128-gcm"
    key_size => 16
    iv_random_length => 16
    cipher_padding => 0
    key => "1234567890ABCDEF0"
    source => "message"
    target => "ciphertext"
    enable_metric => false
    remove_field => [ "message" ]
  }
}
output { stdout {} }

input { stdin { } }
filter {
  cipher {
    mode => "decrypt"
    algorithm => "aes-128-gcm"
    key_size => 16
    iv_random_length => 16
    cipher_padding => 0
    key => "1234567890ABCDEF0"
    source => "message"
    target => "plaintext"
    enable_metric => false
    remove_field => [ "message" ]
  }
}
output { stdout {} }

5. 加密解密验证:

a. 加密前输入:

abcdefghijklmnopqrst

加密后输出:

{
    "ciphertext" => "6wu/hk+aKC4KC4E5ESwCxaVowyOlHvMEisxNYjhEZzZ2lDYaMArkn4zZur9t1wYczA/sdw==",
          "host" => "px-VirtualBox",
      "@version" => "1",
    "@timestamp" => 2020-01-05T11:45:51.401Z
}

b. 解密前输入:

6wu/hk+aKC4KC4E5ESwCxaVowyOlHvMEisxNYjhEZzZ2lDYaMArkn4zZur9t1wYczA/sdw==

解密后输出:

{
          "host" => "px-VirtualBox",
     "plaintext" => "abcdefghijklmnopqrst",
    "@timestamp" => 2020-01-05T12:02:09.492Z,
      "@version" => "1"
}

6. 源码改进参见:https://github.com/AndrewPanB/logstash-filter-cipher

px2557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-5.6.8.z logstash-5.6.8.z
06-01
logstash-5.6.8.zip
logstash-filter-sequence:日志过滤器序列
06-05
此过滤器将为具有相同时间戳的事件分配一个序列,以便通过对序列进行排序,以正确的顺序显示它们。 开始吧: 克隆到 /opt(例如) git clone https://github.com/pauljb/logstash-filter-sequence.git 建造 cd /opt/logstash-filter-sequence gem build logstash-filter-sequence.gemspec 安装 bin/plugin install /opt/logstash-filter-sequence/logstash-filter-sequence-0.1.1.gem 这个插件的代码最初来自这里: : 在 Logstash 中使用: 在您可能拥有的任何多行过滤器之后使用: sequence{} 从弹性搜索中按顺序排序。 例
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
Logstash配置对IntelliJ的支持 IntelliJ IDE的插件以支持弹性配置文件 特征 语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动: 下载并使用“首选项” >“插件” >“从磁盘安装插件”手动安装。
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
我切换到vector-> 。 Logstash插件 该插件是Lucidworks logstash json_batch的修改版本。 该插件可用。 已对其进行了修改,以支持ClickHouse JSON格式,但还支持容错功能。 用法 请注意,使用时,插件的名称为clickhouse ,它仅支持当前形式的json。 如果将来添加更多的输出格式,则可能会改回json_batch。 output { clickhouse { headers => ["Authorization", "Basic YWRtaW46cGFzc3dvcmQxMjM="] http_hosts => ["http://your.clickhouse1/", "http://your.clickhouse2/", "http://your.clickhouse3/"] table =>
logstash-8.11.0-windows-x86-64
11-27
Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。
Logstash之2 cipher plugin加密解密实现
aa905867914的博客
12-25 1066
1 使用cipher plugin之前要提前安装plugin: px@px-VirtualBox:/usr/share/logstash$ sudo bin/logstash-plugin install logstash-filter-cipher Validating logstash-filter-cipher Installing logstash-filter-cipher Inst...
Logstash7.4实现Kafka消息、Beats、MySQL的数据收集、解析、转换和ElasticSearch存储的应用场景
Jack__iT的博客
11-13 1510
ElasticSearch是个是一个分布式、可扩展、实时的搜索与数据分析引擎,如何将海量数据源高效可靠的写入到ElasticSearch是个无法避免的 Logstash概念与原理 Logstash 是开源的服务器端数据处理管道,能够同时从多个来源动态地采集、转换和传输数据到ElasticSearch的索引中,进而对数据进行分词、检索与分析,不受格式或复杂度的影响,它提供了丰富的过滤器库,如能利...
logstash 对配置文件conf敏感信息,密码等加密
u011311291的博客
02-12 4069
logstash的配置文件conf经常会涉及敏感信息,比如ES,mysql的账户密码等,以下使用logstash导入mysql为例子,加密隐藏mysql的密码。 1.先创建keystore,可以不设置keystore密码,直接选择y bin/logstash-keystore create conf目录下会出现logstash.keystore 2.创建你要加密的变量key,例如这里添加mys...
Logstash~filter通用配置项使用教程(附带实例)
feizuiku0116的博客
04-26 3006
一、add_field 功能:添加字段 介绍:在filter过滤成功之后,可以添加字段,可以添加多个字段,必须写在filter组件内部,可以动态添加字段 filter{ grok{ match => { "message" => "%{NUMBER:number} %{WORD:name}" } add_field => { "f1" => "field1" "f2" =
Logstash简单介绍
热门推荐
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
logstash-filter-schema_validation:使用JSON模式验证事件数据结构
05-17
安装 logstash-plugin install logstash-filter-schema_validation Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby
最新版linux logstash-8.8.0-linux-x86-64.tar.gz
05-29
最新版linux logstash-8.8.0-linux-x86_64.tar.gz最新版linux logstash-8.8.0-linux-x86_64.tar.gz最新版linux logstash-8.8.0-linux-x86_64.tar.gz
logstash-logback-encoder:Logback JSON编码器和附加器
02-03
最初是为了支持的JSON格式的输出而的,但现在已经演变为针对JSON和其他Jackson数据格式的高度可配置的通用结构化日志记录机制。 输出的结构及其包含的数据是完全可配置的。 内容: 将其包含在您的项目中 Maven风格...
centos7 搭建ELK(elasticsearch、logstash、kibana)
青梅煮酒
02-21 1665
下载后解压,然后拷贝一份 config 目录下的 kibana.yml,根据自己的需要可以修改配置,比如端口(默认5601)、host、elasticsearch.hosts(默认localhost:9200)等。的 elasticsearch 的 ip 和端口,这是个数组,多个用逗号隔开,由于我们没有修改 elasticsearch 的配置,它默认就是 9200 端口;警告信息不影响es的启动,如果要去掉警告,则需要修改es config下面的jvm.options文件中的属性定义字段,把。
爬梯:ElasticSearch分布式搜索引擎
石似心的博客
10-16 707
学习资料:狂神说 ElactisSearch 7.6.2 ElasticSearch 分布式搜索引擎 1. 概述 1.1 ELK ELK是ElasticSearch、Logstash、Kibana三大开源架构首字母大写简称,市面上也被称为Elastic Etack。 ElasticSearch是以RESTful方式进行近实时地搜索平台框架,提供存储和搜索; Logstash是ELK的中央数据流引擎,用于从不同目标(文件、数据存储、mq)收集不同格式的数据,经过过滤然后输出到不同的目的地(文件、m.
Logstash 参考指南(过滤器插件)
weixin_34072458的博客
10-11 1190
过滤器插件 过滤器插件对事件执行中间处理,过滤器通常根据事件的特征有条件地应用。 下面是一些过滤器插件,有关Elastic支持插件的列表,请参阅支持矩阵。 插件 描述 Github仓库 aggregate 聚合来自单个任务的多个事件的信息 logstash-filter-aggregate alter 对mutate过滤器无...
Logstash——使用Logstash过滤器(filter)对事件中的数据进行特殊处理
大风的博客
05-17 7833
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 对事件中的数据进行处理 很多时候我们传入logstash的原始数据并不是我们所需要传输的最终数据,这个时候需要我们队数据进行处理。而filter用来进行数据处理的插件主要是下面几个 alter:主要根据元素中的值,对其进行重新赋值 mutate:主要对元素中的值.
Logstash之1 安装及标准输入输出
aa905867914的博客
12-24 734
1. 下载logstash的rpm或者deb包并安装(https://www.elastic.co/cn/downloads/logstash) 在线安装: sudo yum install logstash or sudo apt-get install logstash 离线安装: rpm -i --nodeps logstash-*.rpm or sudo apt-get i...
HP-Socket编译-Linux
最新发布
05-20
HP-Socket编译-Linux
bin/logstash-plugin No such sub-command 'install logstash-filter-kubernetes'
05-09
这个错误信息表示 Logstash 没有找到 `install` 这个子命令。请确认你使用的 Logstash 版本是否支持 `install` 命令。如果你使用的是较旧版本Logstash,可以尝试使用 `bin/logstash-plugin install logstash-filter-kubernetes` 命令来安装插件。如果你使用的是较新版本Logstash,则可以尝试使用 `bin/logstash plugins install logstash-filter-kubernetes` 命令来安装插件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值