通过Nginx 的反向代理来加强kibana的访问安全

最新推荐文章于 2024-08-14 18:01:02 发布
最新推荐文章于 2024-08-14 18:01:02 发布
阅读量7.5k 收藏 3
点赞数 3
分类专栏: 分布式日志管理 Elatic-技术栈 文章标签: nginx elatic kibana 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/choelea/article/details/57406086
版权

前一篇 Kibana 5.x 加强安全 采用的是官方的x-pack 插件来实现elastic技术栈的相关产品的权限控制。功能不错,也提供了很大的灵活性,不过x-pack并非免费产品;咨询了下licence价格,大概三个节点年费六千多美刀。。。废话不多说了,想想替代方案 - Nginx 反向代理 (收回5601端口,通过nginx反向代理+basic authentication来保证安全)

参考:

How To Create a Self-Signed SSL Certificate for Nginx on CentOS 7

配置Nginx SSL

第一步: 安装 Nginx 并配置防火墙

参考上面的文章

注意: 80 和 443 端口必须对外打开。 当遇见ERR_CONNECTION_REFUSED 这类错误的时候,一定要提高警惕查看端口是否打开。以免浪费时间在配置上面。可以ssh到nginx机器上通过curl 的命令来验证,如果服务器上curl可以访问,外面不可访问;那么很可能端口没开放

第二步:生成证书

参考上面的文章

第三步:添加kibana.https.conf配置

配置如下:

server {
    listen 443 http2 ssl;
    listen [::]:443 http2 ssl;

    server_name kibana.domain.com;

    ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;

    ########################################################################
    # from https://cipherli.st/                                            #
    # and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html #
    ########################################################################

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_ecdh_curve secp384r1;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;
    # Disable preloading HSTS for now.  You can use the commented out header line that includes
    # the "preload" directive if you understand the implications.
    #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;

    ##################################
    # END https://cipherli.st/ BLOCK #
    ##################################

    # 这里是反向代理到kibana服务 走http协议
    location / {
       proxy_pass   http://localhost:5601;       
    }
}
第四步:验证SSL 访问

为设置http跳转的时候,注意在浏览器地址栏中输入https://kibana.domain.com 来验证

第五步: 添加Nginx的Basic Authentication 访问控制
  1. 查看是否有安装httpd-tools sudo rpm -qa | grep httpd-tools, 如果有,则可以看到如下信息:httpd-tools-2.4.6-40.el7.centos.4.x86_64 如果没有安装,可以通过sudo yum -y install httpd-tools 来安装
  2. 配置nginx 反向代理 添加
 auth_basic " Basic Authentication ";      
 auth_basic_user_file "/etc/nginx/.htpasswd";

添加至反向代理的配置

......
location / {
    proxy_pass   http://localhost:5601;
    auth_basic " Basic Authentication ";      
    auth_basic_user_file "/etc/nginx/.htpasswd";       
}
.....
  1. 生成密码文件 sudo htpasswd -c /etc/nginx/.htpasswd username 根据提示输入密码
  2. 重新加载ngixn sudo service nginx reload
  3. 再次登录来,提示弹出框,输入用户名和密码
Joe叔
关注
专栏目录
从零开始设计并构建“金科云盾”网站防护系统(全国云计算应用创新大赛一等奖作品),使用Nginx实现反向代理,负载均衡,统一日志
06-07
自行构建web网站(敏感请求包括:注册、登录、详情、支付等),使用Nginx实现反向代理,负载均衡,并统一日志格式。模拟慢连接、DDOS、撞库、爆破等恶意攻击并统一数据格式,Logstash过滤收集有效日志,日志分类归档...
ELK详解(十八)——Nginx代理Kibana实战
永远是少年
04-09 3875
今天继续给大家介绍Linux运维相关知识,本文主要内容是使用Nginx代理Kibana。 一、Nginx代理Kibana简介 二、Nginx配置 三、kibana配置 四、效果检验
Kibana 默认Web 端口 5601 改为 80 的简单办法
weixin_30633949的博客
12-12 706
Kibana 安装好后,默认的 Web 端口为 5601,输入网址时感觉很不方便,于是萌生出将其改为 80 端口的办法。 查看配置文件 /etc/kibana/kibana.yml,发现其定义就在第一项目,于是修改。 # Kibana is served by a back end server. This setting specifies the port to use. # server.p...
ningx之kibana转发
最新发布
勇敢的打工人.的博客
08-14 111
nginx默认转发kibana 会报302重定向 无法转发。访问:http://ip:port/kibana/1、修改kibana.yml配置文件,添加请求头。2、nginx转发配置。重新加载nginx配置。重启kibana服务。
nginx配置代理kibana
toutuopang的博客
04-02 726
nginx代理kibana
Nginx配置共用80端口|端口转发端口映射
小哈里的博客
06-14 4531
problem 1、http默认端口为80 2、一台服务器有多个服务,都想监听80 3、有些服务限用指定端口,修改麻烦 4、外网访问域名时要加端口,很麻烦 solution 1、先在两个空闲的端口上分别部署项目(非80,假设是81和82) // nginx.conf # test1项目配置 server { listen 81; root /www/wwwroot/test1; index index.html; location /
NginxNginx启动显示80端口占用问题的解决方案
朝花夕拾
04-23 6706
本文探讨了在启动nginx时遇到80端口被占用的问题,并提供了解决方案。首先,作者介绍了常见的80端口占用情况,如其他Web服务器或应用程序占用等。接着,提供了解决方案,包括使用netstat命令查找占用80端口的进程,并通过关闭或更改相关进程来释放端口。最后,作者建议了一些预防措施,如定期检查端口使用情况以及优化nginx配置以避免冲突。
详解用ELK来分析Nginx服务器日志的方法
09-30
Nginx能够生成丰富的日志,记录访问者的行为,而使用ELK Stack来分析这些日志,可以帮助运维人员和开发人员更好地理解用户行为,发现潜在问题,从而优化Web服务器配置,增强系统的性能和安全性。 在ELK Stack中,...
nginx-1.16.1.tar , nginx-1.18.0.tar
04-03
此外,还可以通过限制连接数、设置访问控制、缓存静态资源等方式优化 Nginx 的性能。 **日志与监控** Nginx 默认会生成 access.log 和 error.log,这些日志文件有助于分析服务器性能和排查问题。可以使用第三方...
haproxy+nginx+tomcat 练习1
08-08
在本实验中,我们将搭建一个基于CentOS 7.4的高可用性负载均衡系统,该系统使用Haproxy作为负载均衡器,Nginx作为反向代理服务器,以及两个Tomcat实例作为应用服务器。这样的架构可以提高服务的稳定性和响应速度,...
nginx日志测试使用 access.log.zip
11-03
在IT行业中,Nginx是一款广泛应用的高性能Web服务器和反向代理服务器,它以其稳定性、高效性和灵活性而闻名。在日常运维中,日志管理是不可或缺的一部分,它可以帮助我们了解服务器运行状态,诊断问题,以及优化性能...
Nginx 80端口转发隐藏真实ElasticSearch地址端口
灵动的艺术的博客
11-05 4280
Nginx 80端口转发隐藏Redis真实地址端口redis.conf/etc/hosts测试远程连接Spring Boot配置 一般来讲,如果我们直接将Redis的地址和端口暴露出去,容易被攻击,为安全起见,我们可以利用Nginx代理分发隐藏Redis地址信息。 redis.conf 我们可以在Nginx站点目录下配置redis.conf vim /usr/local/nginx/sites-...
Nginx 反向代理 Kibana
u010670434的专栏
08-16 220
【代码】Nginx 反向代理 Kibana
安全Nginx实现反向代理&负载均衡
故余虽愚,卒获有所闻
02-11 1399
什么是负载均衡?负载均衡用于从“upstream”模块定义的后端服务器列表中选取一台服务器接受用户的请求;即把请求均匀的分摊给上游的应用服务器。最基本的配置方式便是轮询:负载均衡策略策略轮询根据请求顺序分配weight根据权重大小分配ip_hash根据ip分配least_conn根据(最小)连接数分配fair(第三方)根据响应时间分配url_hash(第三方)依据URL分配什么是反向代理
安全开发运维必备,如何进行Nginx代理Web服务器性能优化与安全加固配置,看这篇指南就够了
WeiyiGeek 唯一极客IT知识分享
04-15 1328
本章目录 1.引言 1.1 目的 1.2 目标范围 1.3 读者对象 2.参考说明 2.1 帮助参考 2.2 参数说明 3.3 模块说明 3.服务优化 3.1 系统内核 3.2 编译优化 3.3 性能优化 3.4 运营优化 3.5 配置优化 4.安全配置 0.隐藏nginx服务及其版本 1.低权限用户运行服务 2.配置SSL及其会话复用 3.限制SSL协议与加密套件 4.拦截垃圾信息 5.恶意扫描拦截 6.禁用WebDAV 7.禁用Nginx状态模块 8.关闭默认错误页上的Nginx版本号 9
Nginx (2):nginx反向代理配置
lyy的博客
11-23 515
1、反向代理服务器可以提高Web服务器的安全性和性能。2、反向代理服务器可以防止被攻击。如果网站使用反向代理,那么服务器地址是隐藏的。3、反向代理服务器有缓存的作用,可以用来缓存网站内容,提高网站性能。4、反向代理服务器可以进行SSL加密。尤其是在网站每天有大量流量的情况下。反向代理可以通过加密和解密所有请求来完成这项工作。5、反向代理服务可以维持负载均衡。拥有大量日常用户的网站无法使用单个源服务器处理所有流量。因此,网站在一组不同的后端服务器之间分配其用户的流量。
Nginx:15---反向代理之(安全隔离:SSL流量加密、SSL客户端身份验证、基于原始IP地址阻止流量)
热门推荐
董哥的黑板报
12-21 1万+
通过代理分开了客户端到应用程序服务器的连接,实现了安全措施。这是在一个架构中使用反向代理的主要原因之一。客户端仅直接连接运行反向代理的机器,这台机器应该足够安全,以至于攻击者找不到任何入口 安全是一个相当大的话题,我们在这里只是简单地就该要点来观察 在反向代理之前设置防火墙,仅允许公网访问80端口(如果HTTPS连接提供443端口,那么也包括该端口) 确保Nginx使用一个非特权用户运行(典型的用户WWW、webservd或者WWW-data,这依赖于具体的操作系统) 加密的流量可以防止窃听
nginx配置kibana代理
wcy1900353090的博客
12-15 836
server.basePath:需要配置跟nginx的location一样。server.rewriteBasePath:开启代理。2、kibana配置。
Nginx反向代理中的深坑
小孙不够睡的博客
03-03 267
Nginx在做反向代理时会默认去掉请求的header
nginxkibana相互转换
08-01
Nginx 是一种高性能的开源网络服务器,常用于Web服务器、反向代理和负载均衡等场景,它以其稳定性、高效性和资源消耗低而受到欢迎。 Kibana,则是 Elastic Stack (以前称为 Elasticsearch、Logstash 和 Kibana) 中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值