用SearchGuard做elasticsearch的登录认证

最新推荐文章于 2024-05-07 17:25:42 发布
最新推荐文章于 2024-05-07 17:25:42 发布
阅读量9.8k 收藏 7
点赞数 1
分类专栏: 网络安全认知
一、关于elasticsearch的登录认证

elasticsearch由于自身没有做登录验证,所以会出现安全问题。Elasticsearch 数据安全可能存在的风险点: 
- 在公网暴露集群TCP 端口或者 HTTP 端口。 
- Elasticsearch 集群节点之间通信是明文的,可以被窃取或者篡改。 
- 没有细粒度控制索引的操作权限 
- 非必要情况下关闭HTTP端口(只保留Client 节点的HTTP端口) 
- 非必要情况下关闭动态脚本,部分脚本语言

在项目中要对elasticsearch进行登录验证,翻阅资料后大概是有三个办法: 
1. 用官方插件x-pack。优点:和elasticsearch和kibana集成较好,权限、用户比较全面。缺点:不开源。 
2. 通过nginx 指定受信服务器访问。 
3. Search Guard。(选择searchguard的原因是开源,大部分功能可以满足我的项目需求)

二、关于SearchGuard

search-guard是elastcisearch的一款插件,提供加密,身份验证和授权,基于search guard SSL,另外提供可插入的身份验证/授权模块,search-guard是shield的替代品,可免费提供所有的基本安全功能, 
github地址:https://github.com/floragunncom/search-guard

三、部署searchguard示例(安装参考:http://floragunncom.github.io/search-guard-docs/installation.html)
  • elasticsearch版本:5.3
  • searchguard版本:5.3.0
  • 系统环境:ubantu
1.安装searchguard插件
[root@localhost elasticsearch]# bin/elasticsearch-plugin install -b com.floragunn:search-guard-5:5.3.0-11

安装完成后看在plugin文件夹下是否有searchguard目录。

2.下载 search-guard-ssl

github地址:

https://github.com/floragunncom/search-guard-ssl/tree/es-5.3.0/example-pki-scripts

下载后在目录中找到example.sh,打开并编辑: 
“` 
[root@localhost example-pki-scripts]# cat example.sh

!/bin/bash

set -e 
./clean.sh 
./gen_root_ca.sh capass changeit 
./gen_node_cert.sh 1 changeit capass 
./gen_client_node_cert.sh spock changeit capass 
./gen_client_node_cert.sh kirk changeit capass


修改后运行 

[root@localhost example-pki-scripts]# ./example.sh 

复制 truststore.jks node-x-keystore.jks 证书到elasticsearch: 

[root@localhost example-pki-scripts]# cp node-1-keystore.jks truststore.jks /etc/elasticsearch/ 

配置elasticsearch 各结点基于tls加密通讯: 

[root@localhost example-pki-scripts]# vim /etc/elasticsearch/elasticsearch.yml 
node.name: node-1 
searchguard.ssl.transport.keystore_filepath: node-1-keystore.jks 
searchguard.ssl.transport.keystore_password: changeit 
searchguard.ssl.transport.truststore_filepath: truststore.jks 
searchguard.ssl.transport.truststore_password: changeit 
searchguard.ssl.transport.enforce_hostname_verification: false 

重启后,elasticsearch 之间的连接已经是加密的了,但是有如下报错,此问题是没有初始化 Search Guard 索引。 
在elasticsearch控制台报错: 

[ERROR][c.f.s.a.BackendRegistry ] Not yet initialized (you may need to run sgadmin) 
“` 
##### 3.初始化 Search Guard 索引,配置帐号。

复制kirk-keystore.jks证书 

[root@localhost example-pki-scripts]# cp kirk-keystore.jks /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/ 

新增以下配置参数 
“` 
[root@localhost example-pki-scripts]# vim /etc/elasticsearch/elasticsearch.yml 
searchguard.authcz.admin_dn: 
- “CN=kirk, OU=client, O=client, L=Test, C=DE”


重启elasticsearch服务 
初始化 Search Guard 索引 

[root@localhost search-guard-5]# cd /usr/share/elasticsearch/plugins/search-guard-5

[root@localhost search-guard-5]# tools/sgadmin.sh -ts /etc/elasticsearch/truststore.jks -tspass changeit -ks sgconfig/kirk-keystore.jks -kspass changeit -cd sgconfig/ -icl -nhnv -h localhost 
“` 
运行结尾为Done with success表示初始化索引成功

如果出现权限问题,请给root赋sgadmin.sh的权限:

chmod +x plugins/search-guard-2/tools/sgadmin.sh

其中 sg_internal_users.yml 保存着默认的用户和密码

admin:
  hash: $2a$12$VcCDgh2NDk07JGN0rjGbM.Ad41qVR/YFJcgHp0UGns5JDymv..TOG
  #password is: admin

使用浏览器访问:http://localhost:9200 提示输入密码,输入默认用户: admin admin ,可登陆表示正常。

4.配置REST-API 基于https连接
[root@localhost elk]# vim /etc/elasticsearch/elasticsearch.yml,

searchguard.ssl.http.enabled: true
searchguard.ssl.http.keystore_filepath: node-1-keystore.jks
searchguard.ssl.http.keystore_password: changeit
searchguard.ssl.http.truststore_filepath: truststore.jks
searchguard.ssl.http.truststore_password: changeit

使用浏览器访问:https://localhost:9200 提示输入密码,输入默认用户: admin admin ,可登陆表示正常 
http://localhost:9200 无加密拒绝访问。

5.配置kibana

修改 kibana.yml 参数

[root@localhost kibana]# vim /etc/kibana/kibana.yml 

elasticsearch.url: "https://localhost:9200"
elasticsearch.username: "kibanaserver" 
elasticsearch.password: "kibanaserver"
elasticsearch.ssl.verify: false

修改kibana console插件参数,如果不修改,无法使用kibana console的功能。

[root@localhost kibana]# vim /usr/share/kibana/src/core_plugins/console/index.js 
         ssl: {
            verify: false 默认为:true
          }

重启kibana,提示要求输入密码 admin admin

envinfo2012
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Search-Guard安装详细教程
11-23
Search-GuardElasticsearch的一个免费安全插件,它提供身份验证和授权 ,这里上传的是居于elasticsearch2.3的安装详细教程,包括java中如何连接都有完整的例子,网上很多都不完整,这是作者踩过了无数的坑后整理出来的,希望对大家有帮助。
es searchguard
05-15
elasticsearch,免费的安全认证方案,支持base认证,http,https访问,通信加密等。
ElasticSearch添加HTTP基本认证
weixin_33672109的博客
05-28 1351
ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。而一个简单的HTTP认证并不需要从头造轮子,elasticsea...
ES集群搭建、身份认证配置
最新发布
weiye2012的博客
05-07 781
elasticsearch 默认不允许root用户启动,所以需要创建es用户。
6.Elasticsearch登录认证
王双颖的博客
06-21 2816
Elasticsearch 单节点登录认证 1.在 elasticsearch.yml 中添加如下配置 # 配置X-Pack http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-headers: Authorization xpack.security.enabled: true xpack.security.transport.ssl.enabled: true 需要重启es 2.设置密码 cd /home/es/el
Elasticsearch开启安全认证详细步骤
热门推荐
卑微小韩
04-19 1万+
Elasticsearch开启安全认证详细步骤Elasticsearch开启安全认证详细步骤Elasticsearch搭建环境问题描述解决步骤一、生成证书:二、生成秘钥三、将凭证迁移到指定目录四、凭证移动至每一台集群下面五、修改配置文件(每一台es都需要添加)六、在各个节点上添加密码(每一台es都需要操作)七、逐个启动节点八、设置密码九、浏览器查看9200端口十、es-head访问认证的es Elasticsearch开启安全认证详细步骤 Elasticsearch搭建环境 Elasticsearch版本
离线安装部署ES权限控制search-guard
争当鲲鹏飞万里 不做燕雀恋子巢
03-26 3478
安装部署: Elasticsearch 2.x和 Elasticsearch 5.x安装方式有所不同,以下以Elasticsearch 2.4.1版本 1、将从maven上面下载的ssl和guard的zip文件:https://bit.ly/2tNA8vY,并将下载的两个zip包放到别的目录下,千万不能放到es下plugins下 2、安装ssl和guard: ./bin/plugin...
docker下elasticsearch安全插件searchguard的安装笔记
独行侠梦的博客
06-08 3233
前言 es在 6.8 和 7.1 版本后,核心安全功能(例如 TLS、文件和原生 Realm 身份验证,以及基于角色的访问控制)免费提供,如果使用的是高版本es则是开箱即用的,对于低版本的es安全功能是收费的,这里使用第三方的安全框架searchguard来加固低版本的es.但本次用es7.1.1来演示。 网上容器化安装的资料很少,这里 记录一下使用docker来安装。 所有操作均在考虑无外部网...
search-guard-7-7.5.1-37.1.0.zip
03-18
基于Search GuardElasticsearch安全认证和授权配置组件资源,在官网是能够下载,不一定要下载我的,图方便的话可以下载这个,然后这个是我自己安装过程中一些步骤,也许对你有帮助...
elasticsearch6.5.4+sg+ik
01-10
1.elasticsearch由于自身没有登录验证,所以会出现安全问题。Elasticsearch 数据安全可能存在的风险点: - 在公网暴露集群TCP 端口或者 HTTP 端口。 - Elasticsearch 集群节点之间通信是明文的,可以被窃取或者...
ElasticSearch集群管理及运维
02-24
3. **利用 X-Pack 的 Basic 版本**:从 Elasticsearch 6.8 和 7.0 开始,基础的安全功能被包含在内,免费供用户使用。 在实际操作中,可以使用 Security API 来管理用户和角色,创建、更新、删除用户,以及启用或...
ElasticSearch集成SearchGuard配置和实现TransportCient链接
02-28
ElasticSearch5集成SearchGuard5插件实现索引级别的权限控制;含有证书生成配置文件,elasticSearch.yml配置文件,角色配置映射等全套的配置文件,只需按照自己的集群环境修改部分参数即可;配有java实现TransportClient链接集群,证书实现权限控制的实例
Elasticsearch 5.0 安装 Search Guard 5 插件 (五)
bahusuo2688的博客
12-17 481
一、Search Guard 简介 Search GuardElasticsearch的安全插件。它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearch添加审核日志记录和文档/字段级安全性。 Search Guard所有基本安全功能都是免费的,并且内置在Search Guard中。 Search Guard支持OpenSSL...
Not yet initialized (you may need to run securityadmin)
u012140251的博客
10-24 3471
文章目录错误详情解决方案错误原因1 你能不能把 OpenSearch 放在你现有的索引上?2 在现有系统上设置OpenSearch安全性参考文献 错误详情 集群中使用 Open Distro for Elasticsearch 发行版。 当之前在这个环境上使用过,再次安装的时候,可能是之前 es 挂载的数据没清干净,别的 pod 在连该 es 的 client 的时候,就会报错 CrashLoopBackOff。查看日志说 es 健康检查出错,连不上。 查看 es-client pod 的日志,发现报错如
ElasticSearch通过searchguard实现安全传输
03-30 661
背景 一、相关下载地址: Elastic Stack: https://www.elastic.co/downloads Search Guard: https://github.com/floragunncom/search-guard/tree/es-5.0.1 https:/...
elastic stack 结合 search guard 配置日志服务器全过程
weixin_33796177的博客
01-08 434
2019独角兽企业重金招聘Python工程师标准>>> ...
ElasticSearch配置SearchGuard
hq.zheng的博客
04-11 783
复制es目录/config/key下的root-ca.pem,client-certificates/CN=sgadmin.crtfull.pem,client-certificates/CN=sgadmin.key.pem 到/usr/local/elasticsearch-6.4.3/plugins/search-guard-6/tools下。3、 修改/usr/local/elasticsearch-6.4.3/config/elasticsearch.yml。
Elasticsearch基础3——密钥库工具、证书生成工具及四种生成模式、https请求步骤流程
百慕卿君博客
02-04 6216
1.密钥库工具的使用。 2.证书生成工具使用、四种生成模式。 3.https请求步骤流程
【无标题】
weixin_45096709的博客
03-10 186
(search-guard离线生成es6.6.1证书+elasticsearch+kibana+fuilebeat)
search guard
07-28
Search GuardElasticsearch的安全插件,它提供身份验证和授权功能,并为Elasticsearch添加审核日志记录和文档/字段级安全性。\[2\]Search Guard的基本安全功能是免费的,并且内置在Search Guard中。它支持OpenSSL,并可以与Kibana和logstash一起使用。\[2\]如果你想在Linux下安装Search Guard插件,你可以参考官方文档和一些博客文章提供的安装指南。\[3\] #### 引用[.reference_title] - *1* *2* *3* [【弄nèng - SearchGuard】应用篇 —— Windows下elasticsearch5.2.2 安装SearchGuard5.2.2](https://blog.csdn.net/yy756127197/article/details/103515347)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值