如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~...

最新推荐文章于 2022-10-18 11:30:52 发布
最新推荐文章于 2022-10-18 11:30:52 发布
阅读量359 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phodal/article/details/100519480
版权

上周发起了多起针对 MongoDB 的攻击事件,详情可以见我的另外一篇文章。由于使用 MongoDB 的人数量众多,一下子就引起敢关注,因此黑客们将目标转移向了 ElasticSearch 搜索引擎。

于是昨天官方发布了一篇文章《Protecting Against Attacks that Hold Your Data for Ransom》,教你如何手把手地保护你的数据。

数据案例

对于此,ElasticSearch 提出了关于数据的安全建议:

  • 立马备份你的所有数据到一个安全的位置,并且考虑使用 Curator 快照

  • 重新配置你的 Elasticsearch 到一个隔离的网络环境

  • 如果必须通过 Internet 访问集群,请通过防火墙,VPN,反向代理或其他技术限制从 Internet 访问集群

还建议你:

  • 升级到最新版本的 ElasticSearch

  • 添加TLS加密,身份验证,授权和IP过滤

那么问题来了:在我们设计架构的时候,是不是需要进行一些额外的考虑?

隔离的 ORM API

在 Java 应用里,开发人员都会采用 ORM 来隔离数据与编程语言,并抽象出一些虚拟的对象。然而,我们很遗憾的看到,一些好的实践并没有因为新的技术的发展而被采纳。

如果我们即想暴露出我们的接口,又为了系统的安全考虑,那么我们应该做一层代理。

0?wx_fmt=jpeg

这种用法实际上有点类似于 GraphQL 的作法:

0?wx_fmt=jpeg

让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问!

让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问

让你用 ElasticSearch,让你不设密码,让你不备份,让你公网访问


点击阅读原文,访问官方文章。

Phodal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
elasticsearch-6.8.18.rar(elasticsearch-6.8.18.zip)
08-21
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。本资源是6.8.18版本
ElasticSearch开启用户密码登录
qq_44392218的博客
03-31 2250
文章目录前言一、ElaticSearch1.更改配置文件2. 生成密码3.设置kibana4. 重启kibana总结 前言 本篇文章是介绍如何开启es身份认证! 一、ElaticSearch 1.更改配置文件 需要在配置文件中开启x-pack验证, 修改config目录下面的elasticsearch.yml文件,在里面添加如下内容,并重启 xpack.security.enabled: true 2. 生成密码 使用elasticsearch-setup-passwords interactive命
最新版windows elasticsearch-7.17.6-windows-x86_64.zip
09-02
最新版windows elasticsearch-7.17.6-windows-x86_64.zip最新版windows elasticsearch-7.17.6-windows-x86_64.zip
Elasticsearch集群和账号密码设置
wsyh12345678的博客
09-23 3629
会弹出三次提示,分别是输入密码,输出文件,输入密码,第一次密码是输入上一步设置密码,也是123123,输出文件可以直接回车,默认就行。一般来说,主节点如果有数据,不要删除主节点的,先删除从节点的试试。启动主节点和从节点,这个时候可能会报错,提示的大概是证书或者密码错误这些,如果没报错就算完成了,直接访问https://192.168.1.63:9200,如果提示证书不安全,忽略就行,然后就会提示叫输入账号密码。输入 CA 的密码。启动成功的情况,启动成功了但是还没有设置密码,所以登录不进去,先设置密码
一个月6次泄露,为啥大家用Elasticsearch总不设密码
cpongo011702
07-09 407
2019年1月30日,外媒又报道了一起Elasticsearch数据泄露事件!这已经是笔者统计到的2019年1月份的第六起Elasticsearch数据泄露事件了。据外媒报道称,IT安全和云数据管理公司Rubrik遭受了大规模数据泄露,遭到泄露的数据库托管在Amazon Elasticsearch服务器上,拥有数十亿字节的数据,泄露信息包括每个企业客户的客户名称、联系信息和工作信息。除此之外,数据...
Elasticsearch密码设置及其后续问题解决
热门推荐
weixin_51296247的博客
03-09 1万+
一.设置密码 1.在elasticsearch.yml中配置 #开启密码验证 xpack.security.enabled: true xpack.license.self_generated.type: basic xpack.security.transport.ssl.enabled: true http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE #不添加无法使用head连接es,连接时在http:ip:port/?aut
windows环境elasticsearch设置登录用户名、密码
沧海一粟
08-26 1万+
elasticsearch
ELasticsearch(ES,es)单机,集群的加密(x-pack),非加密部署(超详细版)
m0_47188356的博客
10-18 1985
ELasticsearch(ES,es)单机,集群的加密(x-pack),非加密部署(超详细版),另外还有head插件访问,启动
elasticsearch 7.16.2 单机部署及密码认证
m0_67394360的博客
08-16 726
-----------------------------------配置项解释如下--------------------------------------(LINUX下 elasticsearch 无法使用 root 用户运行,需要创建新的用户,并且把 elasticsearch 下所有的文件更改所属用户)##端口号,默认9200(若一台服务器下部署多个节点,则需要修改端口号,不建议配置多个节点)##集群名称,所有集群下应用名称需一致,若名称一致则会自动加入集群。##加入所有的集群IP。...
Elasticsearch集群配置和遇坑经验(无密码
Xeon_CC的博客
08-11 780
主结点master1,其他结点master2,master3以此类推,把node.name 和cluster.initial_master_nodes修改一下,两者的名称一致。 一般情况下,master1作为主结点,node.data 设置为 false,这里仅为了方便实验。 cluster.name: my-application node.name: master1 path.data: /usr/esdata path.logs: /usr/eslogs network.host: 0.0.0.0 t
最新版 elasticsearch-analysis-ik-7.17.6.zip
09-02
最新版 elasticsearch-analysis-ik-7.17.6.zip最新版 elasticsearch-analysis-ik-7.17.6.zip
elasticsearch-analysis-ik-7.16.2.zip
10-02
elasticsearch-ik-7.16.2 分词器
最新版windows elasticsearch-7.16.2-windows-x86_64.zip
12-20
最新版windows elasticsearch-7.16.2-windows-x86_64.zip
实验-三、数据库安全性(目的、要求和模板).doc
04-24
实验-三、数据库安全性(目的、要求和模板).doc
基于Docker搭建K8s集群离线包
04-24
基于Docker搭建K8s集群离线包,包含部署时所需的全部文件,可在内网环境中使用,K8s为1.23.0版本,docker为20.10.9-3版本
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip
04-24
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行!基于springboot+vue实现的求
基于Android系统Api封装常用工具类.zip
04-24
基于Android系统Api封装常用工具类.zip
基于PCA和SVM的人脸识别
最新发布
04-24
svm 基于PCA(主成分分析)和SVM(支持向量机)的人脸识别是一种常见的方法。这里是一个简要说明: PCA(主成分分析): PCA是一种降维技术,它通过线性变换将高维数据转换为低维数据,同时保留最大的数据方差。 在人脸识别中,PCA被用来提取人脸图像中的主要特征,从而减少数据的维度,并保留最重要的信息。 SVM(支持向量机): SVM是一种监督学习算法,用于分类和回归分析。 在人脸识别中,SVM被用来构建一个分类器,以将提取的人脸特征映射到相应的人脸身份标签。 基于PCA和SVM的人脸识别流程: 训练阶段: 收集训练数据集,包括多个人的人脸图像和相应的标签。 对每个人脸图像应用PCA,将其转换为低维特征向量。 使用这些特征向量训练一个SVM分类器,使其能够将人脸特征向量与相应的人脸标签关联起来。 测试阶段: 对待识别的人脸图像应用相同的PCA转换,将其转换为与训练数据相同的低维特征向量。 使用训练好的SVM分类器,将待识别的人脸特征向量与已知的人脸标签进行比较,从而确定其身份。 优点: PCA可以有效地降低数据的维度,减少计算复杂度,并提取最相关的特征。 SVM在处理
天津科技大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
elasticsearch Jest.execute设置超时时间
09-21
如果在这个时间内没有收到 Elasticsearch 的响应,那么会抛出 `SocketTimeoutException` 异常。 以下是一个设置求超时时间为 5 秒的示例: ```java import io.searchbox.client.JestClient; import io.searchbox...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值