ES05--search guard安装与配置

最新推荐文章于 2023-04-11 20:32:53 发布
最新推荐文章于 2023-04-11 20:32:53 发布
阅读量1.1k 收藏
点赞数
分类专栏: Elasticsearch

一、安装search guard插件必须要安装两部分:

①search-guard-xx

②search-guard-ssl

(XX指的是与elasticsearch引擎对应的版本)

github地址:

https://github.com/floragunncom/search-guard

这里以elasticsearch 2.3.5版本为例

进入到elasticsearch安装目录(如果是用RPM包安装的,默认位置是,也可用命令whereis elasticsearch查看安装位置)

cd /usr/share/elasticsearch

 

安装方法:

(1)search-guard

elasticsearch版本:elasticsearch 2.x

bin/plugin install -b com.floragunn/search-guard-2/<version>

elasticsearch 2.3.5版本:

bin/plugin install -b com.floragunn/search-guard-2/2.3.5.10

elasticsearch版本:elasticsearch 5.x

bin/elasticsearch-plugin install -b com.floragunn:search-guard-5:<version>

 

(2)search-guard-ssl

elasticsearch 2.x

bin/plugin install -b com.floragunn/search-guard-ssl/<version>

elasticsearch 2.3.5版本:

bin/plugin install -b com.floragunn/search-guard-ssl/2.3.5.19

elasticsearch 5.x

bin/elasticsearch-plugin install -b com.floragunn:search-guard-ssl:<version>

注意事项:

当es的版本大于2.2时,安装过程中可能会有如下提示:

这个是正常现象,只要看到有以下提示就表示安装成功:

Installed search-guard-ssl into /usr/share/elasticsearch/plugins/search-guard-ssl

Installed search-guard-2 into /usr/share/elasticsearch/plugins/search-guard-2

 

 

二、生成证书文件

1.下载search guard 源码工具,里面包含证书生成工具

git clone https://github.com/floragunncom/search-guard-ssl.git

2.切换到search guard ssl 源码目录,进入example-pki-scripts文件夹,里面有3个脚本

cd search-guard-ssl/example-pki-scripts

gen_client_node_cert.sh  创建客户端证书

gen_node_cert.sh           创建节点证书

gen_root_ca.sh               创建根证书

2.进入example-pki-scripts/etc目录,里面是证书生成时的一些配置文件,可根据需要修改相应的信息

root-ca.conf            根证书配置

signing-ca.conf        签名证书配置

其中自定义的信息如下:

0.domainComponent       = "www.test.com”    域名
1.domainComponent       = "www.test.com"    域名
organizationName        = "Test"            组织名称
organizationalUnitName  = "Test Root CA"        组织单位名称
commonName              = "Test Root CA"        通用名称
以上信息随便填写,只要保证生成证书时跟证书、签名证书中的信息一致即可

3.生成证书

返回到example-pki-scripts目录下,修改example.sh文件:

修改之后如下:

复制代码 
#!/bin/bash

set -e

./clean.sh

./gen_root_ca.sh 12345678 12345678

./gen_node_cert.sh 0 12345678 12345678&& ./gen_node_cert.sh 1 12345678 12345678 &&  ./gen_node_cert.sh 2 12345678 12345678

./gen_client_node_cert.sh test 12345678 12345678

./gen_client_node_cert.sh test 12345678 12345678
复制代码

参数说明:

./gen_root_ca.sh 12345678 12345678

第一个参数为CA_PASS,即CA密码(根证书密码)

第二个参数为TS_PASS,即TS密码(truststore,信任证书密码)

./gen_node_cert.sh 0 12345678 12345678

第一个参数为node编号,生成证书后的文件名为node-0*

第二个参数为KS_PASS(keystore文件密码)

第三个参数为CA_PASS

./gen_client_node_cert.sh test 12345678

第一个参数为客户端节点名称,生成证书后的文件名为test*

第二个参数为KS_PASS

第三个参数为CA_PASS

4.运行example.sh文件,会在当前目录下生成各种证书文件:

sh example.sh

 

 

三、配置

1.证书上传到elasticsearch

将example-pki-scripts文件夹中的node-0-keystore.jks和truststore.jks复制到elasticsearch的配置目录中(/etc/elasticsearch)

cp node-0-keystore.jks /etc/elasticsearch

cp truststore.jks /etc/elasticsearch

将example-pki-scripts文件夹中的test-keystore.jks和truststore.jks复制到elasticsearch程序目录下的plugins/search-guard-2/sgconfig下,如果这个节点是主节点,则所有节点的search guard配置都从这个节点中配置,然后分发到其它节点中

cp test-keystore.jks /usr/share/elasticsearch/plugins/search-guard-2/sgconfig/

cp truststore.jks /usr/share/elasticsearch/plugins/search-guard-2/sgconfig/

2.修改elasticsearch配置文件:

vim /etc/elasticsearch/elasticsearch.yml

修改以下配置:

17  cluster.name: test

23  node.name: node-0

54  network.host: 0.0.0.0

增加以下配置:

复制代码 
# search-guard配置

# 配置ssl

 searchguard.ssl.transport.enabled: true

 searchguard.ssl.transport.keystore_filepath: node-0-keystore.jks

 searchguard.ssl.transport.keystore_password: 12345678

 searchguard.ssl.transport.truststore_filepath: truststore.jks

 searchguard.ssl.transport.truststore_password: 12345678

 searchguard.ssl.transport.enforce_hostname_verification: false

 searchguard.ssl.transport.resolve_hostname: false

 

# 配置http

# http配置,这里我只是为了测试方便,配置完,应该设置为true

 searchguard.ssl.http.enabled: false

 searchguard.ssl.http.keystore_filepath: node-0-keystore.jks

 searchguard.ssl.http.keystore_password: 12345678

 searchguard.ssl.http.truststore_filepath: truststore.jks

 searchguard.ssl.http.truststore_password: 12345678


 searchguard.allow_all_from_loopback: true

 

# 这里注意,下面的配置一定要和签的客户端证书一致,否则不能插入配置

 searchguard.authcz.admin_dn:

 - CN=test, OU=client, O=client, L=Test, C=DE
复制代码

注意事项:

配置文件中的所有配置项开头必须要留一个空格符,否则会启动不了elasticsearch,这个是配置文件的格式

3.配置完后重启elasticsearch

systemctl restart elasticsearch

systemctl status elasticsearc

 

 

四、将配置写入运行中的elasticsearch

进入到elasticsearch安装目录中

cd /usr/share/elasticsearch/

运行如下命令将配置写入到elasticsearch中:

./plugins/search-guard-2/tools/sgadmin.sh -cn 集群名称 -h hostname -cd plugins/search-guard-2/sgconfig -ks plugins/search-guard-2/sgconfig/admin-keystore.jks -kspass password -ts plugins/search-guard-2/sgconfig/truststore.jks -tspass password -nhnv

hostname:指的是elasticsearch的elasticsearch.yml配置文件中 network.host 设置的值

根据上面的配置,输入的命令如下:

./plugins/search-guard-2/tools/sgadmin.sh -cn test -h 0.0.0.0 -cd plugins/search-guard-2/sgconfig -ks plugins/search-guard-2/sgconfig/test-keystore.jks -kspass 12345678 -ts plugins/search-guard-2/sgconfig/truststore.jks -tspass 12345678 -nhnv

需要注意:

如果提示没有操作权限,则必须先把hash.sh文件的权限开放
chmod -R 777 plugins/search-guard-2/tools/sgadmin.sh

的是这时候elasticsearch的服务必须是运行状态。如果插入配置失败,检查配置文件,比如前面提到的,生成客户端证书的时候dname的参数 必须与配置文件中searchguard.authcz.admin_dn:下的认证列表进行对应。

 

如成功写入配置,则会显示以下信息:

 

 

五、search guard 配置文件介绍

search-guard中的用户权限管理

相关配置文件的介绍

searchguard 主要有5个配置文件在plugins/search-guard-2/sgconfig 下:

1、sg_config.yml:主配置文件不需要做改动。

2、sg_internal_users.yml:本地用户文件,定义用户密码以及对应的权限。

3、sg_roles.yml:权限配置文件

4、sg_roles_mapping.yml:定义用户的映射关系

5、sg_action_groups.yml:定义权限

 

修改内置用户密码,然后再运行一次search guard 配置写入命令。

1.则先用plugins/search-guard-2/tools/hash.sh生成hash字符串,生成密码:

cd /usr/share/elasticsearch/

plugins/search-guard-2/tools/hash.sh -p 123456
如果提示没有操作权限,则必须先把hash.sh文件的权限开放
chmod -R 777 plugins/search-guard-2/tools/hash.sh

获得哈希生成后的密码

2.将字符串复制到sg_internal_users.yml文件的对应用户密码位置,在密码下面记得写入原密码的提示,难保你那天忘记了。

vim plugins/search-guard-2/sgconfig/sg_internal_users.yml

3.添加用户权限

vim /usr/share/elasticsearch/plugins/search-guard-2/sgconfig/sg_roles_mapping.yml

在39行处的sg_all_access添加你新增的用户名,就获得所有权限了

4.重新写入配置

先回到elasticsearch的安装文件夹

cd /usr/share/elasticsearch/
./plugins/search-guard-2/tools/sgadmin.sh -cn test -h 0.0.0.0 -cd plugins/search-guard-2/sgconfig -ks plugins/search-guard-2/sgconfig/test-keystore.jks -kspass 12345678 -ts plugins/search-guard-2/sgconfig/truststore.jks -tspass 12345678 -nhnv

5.测试

curl -XGET "http://shifu:123456@127.0.0.1:9200"

如果密码设置成功则显示

现在每次想访问你网站的9200端口都必须要有搜索认证的保护了。

 

FROM:http://www.cnblogs.com/shifu204/p/6376683.html

 

elasticsearchsearch-guard安装
归去来兮
08-18 1534
elasticsearch 版本基于2.3.4 1.安装 bin/plugin install -b com.floragunn/search-guard-ssl/2.3.4.21 bin/plugin install -b com.floragunn/search-guard-2/2.3.4.12 2.生成证书文件   下载对应版本的search guard-ssl源码
search-guard-7-7.5.1-37.1.0.zip
03-18
基于Search Guard的Elasticsearch安全认证和授权配置组件资源,在官网是能够下载,不一定要下载我的,图方便的话可以下载这个,然后这个是我自己安装过程中一些步骤,也许对你有帮助...
Search-Guard安装详细教程
11-23
Search-Guard 是Elasticsearch的一个免费安全插件,它提供身份验证和授权 ,这里上传的是居于elasticsearch2.3的安装详细教程,包括java中如何连接都有完整的例子,网上很多都不完整,这是作者踩过了无数的坑后整理出来的,希望对大家有帮助。
elasticsearch安装与使用(5)-- search guard安装与配置
weixin_33890499的博客
02-08 304
一、安装search guard插件必须要安装两部分: ①search-guard-xx ②search-guard-ssl (XX指的是与elasticsearch引擎对应的版本) github地址: https://github.com/floragunncom/search-guard 这里以elasticsearch 2.3.5版本为例 进入到elasticsearc...
2019年最新版elasticSearch+kibana+logstash+search guard安装教程
03-01
2019年elaticsearch6.6.0,kibana6.6.0,logstash6.6.0不再使用x-pack,替换为search guard安装教程。
Elasticsearch 免费认证插件Search-guard的部署安装及策略配置
热门推荐
很多时候,你缺少的不是知识而是热情
09-14 1万+
背景: 当前es正在被各大互联网公司大量的使用,但目前安全方面还没有一个很成熟的方案,大部门都没有做安全认证或基于自身场景自己开发,没有一个好的开源方案 es官方推出了shield认证,试用了一番,很是方便,功能强大,文档也较全面,但最大的问题是收费的,我相信中国很多公司都不愿去花钱使用,所以随后在github 中找到了search-guard项目,接下来我们一起来了解并部署此项目到我们
search-guard
qq_18746961的博客
03-23 3690
search-guard elasticsearch
elasticsearch集群安全加密插件之search-guard
最新发布
11-04
下面我们将深入探讨Search Guard的核心特性、配置以及与Elasticsearch的集成。 1. **核心特性** - **身份验证**:Search Guard支持多种身份验证机制,包括基于密码的认证、Kerberos、LDAP、AD等。 - **授权和访问...
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
修改ElasticsearchSearchGuard配置文件,添加Kerberos认证相关的设置。 **四、安装与配置Kibana** Kibana作为Elasticsearch的数据可视化工具,需要与ElasticsearchSearchGuard协同工作。部署步骤如下: 1. **...
elasticsearch6.5.4配置 ik 和 search-guard
01-08
**Elasticsearch 6.5.4:中文分词与Search Guard安全配置详解** Elasticsearch,一个强大的开源分布式搜索引擎,以其高效、可扩展和易用性而受到广泛欢迎。在处理中文数据时,通常需要配合合适的中文分词器来实现...
es安全加密认证之生成证书工具
11-04
essearch-guard安全加密认证之生成证书工具
es5.6.4添加search-guard插件
04-20
es5.6.4添加search-guard插件教程,es5.6.4添加search-guard插件教程
search-guard:Elasticsearch 安全免费
06-03
搜索卫士安全插件 Elasticsearch 安全免费。 Search Guard 是 Elasticsearch 的免费开源插件,提供安全功能。 ##特征 灵活的 REST 层访问控制(基于用户/角色;基于别名、索引和类型) 灵活的传输层访问控制(基于用户/角色;基于别名、索引和类型) 文档级安全 (DLS):仅检索符合条件的文档 字段级安全 (FLS):从搜索响应中过滤掉字段/源部分 HTTP 身份验证(基本、代理标头、SPNEGO/Kerberos、相互 SSL/CLIENT-CERT) 通过 cookie 支持 HTTP 会话 灵活的身份验证后端(LDAP/Active Directory、基于文件、代理标头、通过 WAFFLE 的本机 Windows) 灵活的授权后端(LDAP(s)/Active Directory、基于文件、通过 WAFFLE 的本机 Window
Elasticsearch 5.0 安装 Search Guard 5 插件 (五)
bahusuo2688的博客
12-17 504
一、Search Guard 简介 Search Guard是Elasticsearch的安全插件。它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearch添加审核日志记录和文档/字段级安全性。 Search Guard所有基本安全功能都是免费的,并且内置在Search Guard中。 Search Guard支持OpenSSL...
ElasticSearch配置SearchGuard
hq.zheng的博客
04-11 896
复制es目录/config/key下的root-ca.pem,client-certificates/CN=sgadmin.crtfull.pem,client-certificates/CN=sgadmin.key.pem 到/usr/local/elasticsearch-6.4.3/plugins/search-guard-6/tools下。3、 修改/usr/local/elasticsearch-6.4.3/config/elasticsearch.yml。
ES 2.4.0下Search-guard安装配置
从入门到放弃
11-05 3007
search-guard-2-2.4.0.12.zip search-guard-ssl-2.4.0.21.zip search-guard-ssl-2.4.x.zip ES集群中任意节点进行以下操作 一、安装search-guard-ssl及search-guard 1、安装search-guard-ssl /usr/share/elasticsearch/bin/plugin instal...
ElasticSearch2.4.2安装search-guard插件
零度的博客专栏
07-18 1861
(1)环境; elasticsearch 2.4.2 (2):github上分支没有2.4.x版本的分支,笔者一度找了好久才找到下面一个版本关系对应表 elasticsearchsearch-guard以及search-guard-ssl: (3): 进入elasticsearch的bin目录,执行命令安装search-guard ./plugin install -b com.fl...
docker下elasticsearch安全插件searchguard的安装笔记
独行侠梦的博客
06-08 3357
前言 es在 6.8 和 7.1 版本后,核心安全功能(例如 TLS、文件和原生 Realm 身份验证,以及基于角色的访问控制)免费提供,如果使用的是高版本es则是开箱即用的,对于低版本的es安全功能是收费的,这里使用第三方的安全框架searchguard来加固低版本的es.但本次用es7.1.1来演示。 网上容器化安装的资料很少,这里 记录一下使用docker来安装。 所有操作均在考虑无外部网...
Elasticsearch-head插件使用与配置指南
资源摘要信息: "elasticsearch-head.zip 是一个压缩包文件,包含用于与 Elasticsearch 集群进行交互的可视化工具 Elasticsearch Head 的相关文件。Elasticsearch Head 是一个基于浏览器的界面,可以用来管理、监控...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值