1、部署环境介绍
软件名称 |
版本 |
elasticsearch |
7.6.2 |
jdk |
1.8.0 |
Centos7.6 |
CentOS-7-x86_64-Everything-1810 |
2、基线加固功能介绍
2.1账号
2.1.1避免账号共享使用
按照不同的用户分配不同的账号,避免不同用户之间共享账号。避免用户账号和设备之间通信使用的账号共享。
2.1.2删除或锁定无关账号
应删除或锁定与设备运行、维护等工作无关的账号。
1) 通过以下方式获取所有用户信息,要求管理员权限
GET /_xpack/security/user
或者获取某个指定用户信息
GET /_xpack/security/<username>
2) 去活一个用户
PUT /_xpack/security/user/<username>/_disable
3) 删除一个用户
DELETE/ xpack/security/user/<username>
2.2认证授权
2.2.1配置密码认证
1) 修改 elasticsearch.yml 配置文件
xpack.security.enabled: true #说明: 免费版的xpack 插件已提供账号密码认证功能
2) 创建 keystore 文件,如已有该文件无需重复创建
bin/elasticsearch-keystore create
3) 启动 elasticsearch
4) 设置登录密码
#交互模式
bin/elasticsearch-setup-passwords interactive
#自动模式
bin/elasticsearch-setup-passwords auto
2.2.2最小化权限账号运行 Elasticsearch 服务
使用普通权限账号运行,为 ELasticsearch 创建单独用户,在启动服务时也应当切换至该用户再启动。
2.3监听地址和端口
2.3.1监听地址
监听地址为其他节点和该节点交互的IP地址,禁止使用0.0.0.0
network.host: 192.168.0.1
2.3.2监听端口
节点间交互的tcp端口不得使用9300端口,对外服务的http端口不得使用9200端口
ransport.tcp.port: 9301
http.port: 9201
2.4变更集群名
修改默认的 Elasticsearch 集群名称
cluster.name: “no-elasticsearch”
名称指定为任意非 elasticsearch 即可
2.5禁用批量删除索引
禁止使用全部和通配符来批量删除索引
在$ES_HOME/config/elasticsearch.yml 配置文件中设置: