龙叔学ES:Elasticsearch XPACK安全认证

已于 2022-10-29 23:21:10 修改
阅读量1w 收藏 51
点赞数 7
分类专栏: 龙叔ES 文章标签: linux 运维 服务器 elasticsearch
于 2022-03-26 00:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_30641423/article/details/123746349
版权

目录


Elasticsearch往往存有公司大量的数据,如果安全不过关,那么就会有严重的数据安全隐患。
Elasticsearch 的安全认证方式有不少,如http-basic,search guard,shield等,本文讲的是使用Xpack进行安全认证。

1、什么是Xpack

X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器学习和许多其他功能。 ES7.0+之后,默认情况下,当安装Elasticsearch时,会安装X-Pack,无需单独再安装。

自6.8以及7.1+版本之后,基础级安全永久免费。

基础版本安全功能列表如下:
在这里插入图片描述

2、相关安全配置介绍

这里挑一些比较重要常见的配置项介绍,完整的配置介绍可以查看官方文档

2.1、xpack.security.enabled

默认为true,启用节点上ES的XPACK安全功能,相当于总开关

2.2、xpack.security.http.ssl

这个是用来开启https的,以及对应的设置,整体配置项如下:

xpack.security.http.ssl:
  enabled: false 【开启还是关闭】
  verification_mode: certificate【如下】
   【full:它验证所提供的证书是否由受信任的权威机构(CA)签名,并验证服务器的主机名(或IP地址)是否与证书中识别的名称匹配。】
   【certificate:它验证所提供的证书是否由受信任的机构(CA)签名,但不执行任何主机名验证。】
   【none:它不执行服务器证书的验证。】
  truststore.path: certs/elastic-certificates.p12 【信任存储库文件的存放位置】
  keystore.path: certs/elastic-certificates.p12【密钥存储库文件的存放位置】

2.3、xpack.security.transport.ssl

这个是传输层的认证设置,整体配置项如下:

xpack.security.transport.ssl:
  enabled: true【开启还是关闭】
  verification_mode: certificate【如下】
   【full:它验证所提供的证书是否由受信任的权威机构(CA)签名,并验证服务器的主机名(或IP地址)是否与证书中识别的名称匹配。】
   【certificate:它验证所提供的证书是否由受信任的机构(CA)签名,但不执行任何主机名验证。】
   【none:它不执行服务器证书的验证。】
  keystore.path: certs/elastic-certificates.p12【信任存储库文件的存放位置】
  truststore.path: certs/elastic-certificates.p12【密钥存储库文件的存放位置】

3、ES集群认证配置

命令操作都是在ES安装根目录下执行的
在这里插入图片描述

3.1、创建证书

a、创建一个证书颁发机构

提示命名文件:直接回车,默认文件名elastic-stack-ca.p12文件
提示输入密码:可以直接回车,也可以输入密码进行设置

./bin/elasticsearch-certutil ca

在这里插入图片描述

b、为节点生成证书和私钥

提示命名文件,直接回车,默认文件名elastic-certificates.p12文件
提示输入密码:可以直接回车,也可以输入密码进行设置

./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

c、config目录下创建下certs目录

makdir config/certs

d、将文件可拷贝到certs目录下

mv elastic-certificates.p12 config/certs/

在这里插入图片描述

3.2、给keystore和truststore设置密码

注解:
keystore可以看成一个放key的库,key就是公钥,私钥,数字签名等组成的一个信息。
truststore是放信任的证书的一个store
truststore和keystore的性质是一样的,都是存放key的一个仓库,区别在于,truststore里存放的是只包含公钥的数字证书,代表了可以信任的证书,而keystore是包含私钥的。

如果在创建证书的过程中加了密码,需要输入这个密码。每个节点都需要
在这里插入图片描述

./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

./bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

./bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

这样就会在config目录下keystore文件了
在这里插入图片描述

3.3、修改配置文件并重启

配置文件中加入以下配置,然后重启

xpack.security.enabled: true


xpack.security.http.ssl:
  enabled: false
  verification_mode: certificate
  truststore.path: certs/elastic-certificates.p12
  keystore.path: certs/elastic-certificates.p12

xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elastic-certificates.p12
  truststore.path: certs/elastic-certificates.p12

3.4、创建用户密码

集群中的节点都按照上面的方式完成配置并启动后,就可以设置账号密码了

a、自动创建密码

./bin/elasticsearch-setup-passwords auto

b、手动输入密码

./bin/elasticsearch-setup-passwords interactive

c、重置用户密码(随机密码)

./bin/elasticsearch-reset-password -u elastic

d、重置用户密码(指定密码)

./bin/elasticsearch-reset-password -u elastic -i <password>

4、认证验证场景

4.1、浏览器访问验证

这里说明一下:
xpack.security.http.ssl的enable为true 就会是https,为false就是http,我这里是关掉了
在这里插入图片描述

4.2、curl 认证

当你执行curl去访问es api的时候也会提示需要进行认证
在这里插入图片描述

但是带上账号密码就可以了
在这里插入图片描述

4.3、kibana 认证

kibana中配置ES中配置的kibana账号密码即可连接ES认证

elasticsearch.username: "kibana"
elasticsearch.password: "XXX"
elasticsearch.hosts: ["http://1.1.1.1:9200","http://2.2.2.2:9200","http://3.3.3.3:9200"]
server.port: 5601

在这里插入图片描述

在这里插入图片描述

欢迎关注我的公众号:龙叔运维
持续分享运维经验

龙叔运维
关注
  • 7
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
es xpack 配置详情
12-15
es xpack 配置详情 7.10.1,通过安装 es kibana,使用自带的 x pack 插件来完成权限控制,网上很多都不全,本文非常详细。es kibana 版本号为 7.10.1 与 7.10.0,并且附带相关的步骤,以及方案。
安全访问:如何在 Elasticsearch 中实现用户认证和授权
最新发布
07-18
Elasticsearch 是一个基于 Lucene 构建的开源、分布式、RESTful 风格的搜索和分析引擎。它通常用于处理大量数据的搜索、分析和存储任务。以下是 Elasticsearch 的一些关键特点: 1. **分布式**:Elasticsearch 可以...
Elasticsearch 安装 X-pack
Qynwang的博客
05-17 2164
X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器习和许多其他功能。ES7.0+之后,默认情况下,当安装Elasticsearch时,会安装X-Pack,无需单独再安装。
elasticsearch-7.x使用xpack进行安全认证
热门推荐
小鲍侃java
01-22 2万+
2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。 这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana提供全面保护。 免费提供的核心安全功能如下: 1)TLS 功能。 可对通信进行加密; 2)文件和原生 Realm。 可用于创建和管理用户; 3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限; 通过针对 Kiba
Elasticsearch开启安全认证
weixin_44024436的博客
05-23 411
中间会让输入路径跟密码,路径可以不输,直接回车,完成后会生成一个文件:elastic-stack-ca.p12。一个ES集群生成一个凭证就可以了,其他节点不需要生成凭证。根据提示一步一步配置内置用户,并记住用户名和密码。2.启动es,启动后另开终端配置内置用户。1.打开yml,配置开启安全认证。6.配置内置用户,同单节点。3.将凭证迁移到指定目录。5.各个节点上添加密码。输入第2步设置的密码。
ESElasticsearch)8.x 以上启用自动安全配置,手动安全配置
龙腾麟的博客
10-19 1983
如果您正在运行禁用安全性的现有 Elasticsearch 集群,则可以手动启用 Elasticsearch 安全功能,然后为内置用户创建密码。对于生产模式集群来说,最低安全场景是不够的。如果您的集群有多个节点,则必须启用最低安全性,然后在节点之间配置传输层安全性 (TLS)。还有一些小细节需要注意,elastic 超级用户的密码,ca指纹,kibana注册令牌会在第一次启动时输出到控制台,中,切记,如果输出地址为文件,那么ES基于安全考虑,将隐藏掉 elastic 密码,ca指纹,kibana注册令牌。
ElasticSearch: xpack 密码安全验证
qq_41063182的博客
09-25 7256
背景 在阿里云部署了一台 ElasticSearch 节点,9200 端口直接暴露在了公网下,结果三天两头受到攻击,访问 kibana 老出现 redirect 重定向问题不能访问,查看日志索引都被人删除了,所以怀疑可能是因为被人恶意删除了,由此决定使用 xpack安全组件来保护 ElasticSearchElasticSearch 默认安装后,本身不提供任何安全保障,这也是被人攻击的原因之一 我们为了公网可以访问,配置了 server.host 为 0.0.0.0 这也是被人攻击的原因之一 xpa
elasticsearch实战之xpack安装、head加密与xpack使用
最美dee时光的博客
06-04 6544
一、介绍 X-Pack是一个弹性堆栈扩展,提供安全性、警报、监视、报告、机器习和许多其他功能。默认情况下,当您安装Elasticsearch时,将安装X-Pack。从6.3版本开始, X-Pack 默认包含在 Elasticsearch、Kibana 和 Logstash 中,所以无须单独安装了 二、启动xpack 1、启用xpack前,查看es日志显示license 为basic 2、执行以下命令,再次查看es日志显示license 已变为trial curl -H "Content-Type:appl
elasticsearch7.x 开启安全认证xpack,以及kibana、logstash、filebeat组件连接开启安全认证es
qq_44930876的博客
01-13 7714
elasticsearch7.x 开启安全认证xpack,以及kibana、logstash、filebeat组件连接开启安全认证es
Elasticsearch7.15.2版本的xpack.security.http.ssl 配置的操作
瓜瓜嘟嘟
06-12 1137
Elasticsearch7.15.2版本的xpack.security.http.ssl 配置的操作
elasticsearch:基于springboot整合bboss es实现的demo项目
06-17
本实例是一个基于bboss es spring boot starter的demo maven工程,可供spring boot项目集成bboss elasticsearch rest client参考 展示了通过spring boot管理单集群功能和管理多集群功能 单集群测试用例:...
rs-esElasticSearch REST API的Rust客户端
02-06
**rs-esElasticsearch REST API的Rust客户端** `rs-es`是一个针对Elasticsearch的Rust语言实现的客户端库,它提供了与Elasticsearch REST API交互的能力。Elasticsearch是一个广泛使用的分布式搜索引擎和分析引擎...
彻底清理:如何安全删除 Elasticsearch 中的索引
07-18
Elasticsearch 是一个基于 Lucene 构建的开源、分布式、RESTful 风格的搜索和分析引擎。它通常用于处理大量数据的搜索、分析和存储任务。以下是 Elasticsearch 的一些关键特点: 1. **分布式**:Elasticsearch 可以...
es2csv:从Elasticsearch导出到CSV文件
01-30
**es2csv:从Elasticsearch导出到CSV文件** `es2csv`是一个非常实用的工具,主要用于将数据从Elasticsearch索引导出到CSV格式的文件中。这个工具通常由Python编写,适用于那些需要对存储在Elasticsearch中的大量...
Elasticsearch7开启x-pack验证
qq_20397397的博客
11-22 331
Elasticsearch7.X,x-pack已经作为默认的插件集成在Elasticsearch里面了,所以无需在了,直接在配置文件中启用就可以了。
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3606
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
ElasticSearch7.14设置内置用户,使用用户名密码访问
fen_fen的专栏
03-03 5508
ElasticSearch7.14设置内置用户,使用用户名密码访问 前提:已安装elasticsearch,并可使用http:ip:9200访问 设置内置用户步骤: 1、开启x-pack验证,重启 elasticsearch服务 修改config目录下面的elasticsearch.yml文件,添加如下代码到文件末,开启x-pack验证 重启 elasticsearch服务 2、设置用户名和密码的命令 这里需要为4个用户分别设置密码,elastic, kibana, logstash_sys
xpack原理分析
xyz347的博客
06-06 4107
经常有网友问xpack(原来的x2struct)的实现原理,这里用一个文章大概讲解一下。
elasticsearch加密xpack,java客户端访问xpack集群SSL
偶尔写些东西,意思一下我也参与了内卷
07-26 1万+
xpack已经在es6.3之后默认集成 开启xpack elasticsearch.yml 中加上: xpack.security.enabled: true 注::后空一个空格,如果是es集群请务必全部添加此配置 确保集群健康访问_xpack/license/start_trial?acknowledge=true 开启xpack功能,这时候集群会立马提示您输入用户名密码的弹窗进行...
centos单机部署elasticsearch +xpack
05-19
下面是在 CentOS 上单机部署 Elasticsearch 和 X-Pack 的步骤: 1. 首先下载 Elasticsearch 和 X-Pack 的安装包。可以到官网下载最新版本,也可以使用 yum 安装。 2. 安装 Java 环境。Elasticsearch 需要 Java 环境的支持。可以使用以下命令安装 OpenJDK: ``` sudo yum install java-1.8.0-openjdk ``` 3. 解压 Elasticsearch 和 X-Pack 的安装包,并将其移动到 /usr/share 目录下: ``` sudo tar -zxvf elasticsearch-7.6.2-linux-x86_64.tar.gz sudo mv elasticsearch-7.6.2 /usr/share/elasticsearch sudo tar -zxvf x-pack-7.6.2-linux-x86_64.tar.gz sudo mv x-pack-7.6.2 /usr/share/x-pack ``` 4. 创建一个新用户来运行 Elasticsearch。可以使用以下命令创建一个名为 elasticsearch 的用户: ``` sudo useradd elasticsearch ``` 5. 给 Elasticsearch 和 X-Pack 相应的目录设置权限: ``` sudo chown -R elasticsearch:elasticsearch /usr/share/elasticsearch sudo chown -R elasticsearch:elasticsearch /usr/share/x-pack ``` 6. 修改 Elasticsearch 的配置文件。编辑 /usr/share/elasticsearch/config/elasticsearch.yml 文件,修改以下配置项: ``` cluster.name: my_cluster node.name: node1 network.host: 0.0.0.0 http.port: 9200 xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: /usr/share/x-pack/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: /usr/share/x-pack/elastic-certificates.p12 xpack.security.http.ssl.enabled: true xpack.security.http.ssl.keystore.path: /usr/share/x-pack/http.p12 xpack.security.http.ssl.truststore.path: /usr/share/x-pack/http.p12 ``` 注意:xpack.security.enabled 设置为 true 是启用 X-Pack 的关键。xpack.security.transport.ssl.enabled 和 xpack.security.http.ssl.enabled 分别启用 Elasticsearch 和 HTTP 安全性。 7. 启动 Elasticsearch。使用以下命令启动 Elasticsearch: ``` sudo -u elasticsearch /usr/share/elasticsearch/bin/elasticsearch ``` 8. 验证 Elasticsearch 是否正常运行。在浏览器中访问 http://your_ip_address:9200,如果能够看到 Elasticsearch 的版本信息,则表示 Elasticsearch 已经成功运行。 至此,Elasticsearch 和 X-Pack 的单机部署就完成了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙叔运维

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值