为ElasticSearch添加HTTP基本认证(head,bigdesk等插件增加登陆机制)

最新推荐文章于 2024-08-21 08:37:15 发布
最新推荐文章于 2024-08-21 08:37:15 发布
阅读量1.2k 收藏
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch 黑客 密码

为ElasticSearch添加HTTP基本认证

ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。而做一个简单的HTTP认证并不需要从头造轮子,elasticsearch-http-basic就提供了针对ES HTTP连接的IP白名单、密码权限和信任代理功能。

安装

elasticsearch-http-basic还不支持ES标准的bin/plugin install [github-name]/[repo-name]的安装方式,但作者有提供编译好的jar包,不需要下载源码重新编译。GitHub上目前的最新版本是对应ES的1.4.0版本,但验证过1.5.2也是同样可用的。

插件的安装步骤如下:

  • elasticsearch-http-basic的发布版下载对应版本的jar包
  • mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic注意文件夹的名称
  • 重启ES进程
  • 验证插件是否生效:curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true(如果看到plugins列表包含有http-basic-server-plugin就说明插件生效了)

配置

elasticsearch-http-basic和其他ES插件一样,在config/elasticsearch.yml中统一配置:

配置名默认值说明
http.basic.enabledtrue开关,开启会接管全部HTTP连接
http.basic.user“admin”账号
http.basic.password“admin_pw”密码
http.basic.ipwhitelist[“localhost”, “127.0.0.1”]白名单内的ip访问不需要通过账号和密码,支持ip和主机名,不支持ip区间或正则
http.basic.trusted_proxy_chains[]信任代理列表
http.basic.logfalse把无授权的访问事件添加到ES的日志
http.basic.xforward“”记载代理路径的header字段名

测试

  • Shell
  
  

   
   # 无账号密码,不可访问
  
  

  
  

   
   >>> curl 
   
   http:/
   
   /[your-node-name]:[your-port]/[your-index]/_count?pretty=true
  
  

  
  

   
   Authentication Required
  
  

  
  

   
   # 通过user选项带上账号密码,返回正常数据
  
  

  
  

   
   >>> curl --user [your-admin]
   
   :[your-password] 
   
   http:/
   
   /[your-node-name]:[your-port]/[your-index]/_count?pretty=true
  
  

  
  

   
   {
  
  

  
  
  
   
   "count" 
   
   : xxx,
  
  

  
  
  
   
   "_shards" 
   
   : {
  
  

  
  
    
   
   "total" 
   
   : xxx,
  
  

  
  
    
   
   "successful" 
   
   : xxx,
  
  

  
  
    
   
   "failed" 
   
   : 
   
   0
  
  

  
  

   
     }
  
  

  
  

   
   }
  • 添加了HTTP基本认证后,elasticsearch-head同样会弹窗要求你先进行权限认证

Python

ES官方的Python客户端可以通过http_auth配置账号密码:

  
  

   
   from elasticsearch 
   
   import Elasticsearch
  
  

  
  

   
   es = Elasticsearch([
   
   'localhost'], http_auth=(
   
   'your-admin', 
   
   'your-password'), port=...)


转自:http://guoze.me/2015/05/28/elasticsearch-http-basic-authentication/

土豆大人
关注
专栏目录
elasticsearch监控工具之bigdesk
火阳邪神
03-13 9019
前言      bigdesk是elasticsearch的一个集群监控工具,可以通过它来查看es集群的各种状态,如:cpu、内存使用情况,索引数据、搜索情况,http连接数等。本文主要记录bigdesk的使用 ,和安装过程中遇到的一些错误 。项目git地址: https://github.com/lukas-vlcek/bigdesk  点击打开链接在GitHub上面 ,截止目前 ,发现只支持到...
ElasticSearch添加HTTP基本认证
weixin_33672109的博客
05-28 1385
ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。而做一个简单的HTTP认证并不需要从头造轮子,elasticsea...
Elasticsearch HTTP Basic 开源项目教程
最新发布
gitblog_00397的博客
08-21 257
Elasticsearch HTTP Basic 开源项目教程 项目地址:https://gitcode.com/gh_mirrors/el/elasticsearch-http-basic 项目的目录结构及介绍 elasticsearch-http-basic/ ├── README.md ├── bin/ │ └── elasticsearch-http-basic ├── config/...
Elasticsearch 未授权访问漏洞验证及修复
热门推荐
zhangjiaxx的博客
04-25 2万+
漏洞修复: 1.限制IP访问,禁止未授权IP访问ElasticSearch端口(默认9200)。 2.通过ES插件形式来增加访问验证,需要注意增加验证后切勿使用弱口令: ①shield插件,收费,暂不考虑。 ②针对1.7.0版本之前的ElasticSearch,可采用elasticsearch-http-basic插件。 下载地址:Releases · Asquera/elasticsearch-http-basic · GitHub elasticsearch-http-basic和其他ES插
nginx用户认证配置( Basic HTTP authentication)
Jc0803kevin的专栏
04-19 685
nginx用户认证配置( Basic HTTP authentication) server { listen 80; server_name kevin.com; location / { proxy_pass http://dev1; auth_basic "welcom to...
elasticsearch6.3.2 http-basic身份验证插件安装
katana2014的博客
05-07 4025
elasticsearch 安装http-baisc插件
Elasticsearch+(Head插件+Bigdesk插件)
01-31
Elasticsearch2.4.6 插件包含了head插件bigdesk插件 head插件是单独运行的 其中head插件基于nodejs运行,具体参考 http://blog.csdn.net/qq_30930805/article/details/74990324
ELK 之 Elasticsearch插件head/kopf/bigdesk(安装/调试)
01-07
插件包下载: https://github.com/remembertr/elasticsearch–/blob/master/elasticsearch-head-master.zip https://github.com/remembertr/elasticsearch–/blob/master/bigdesk-master.zip ...
ELK 之 Elasticsearch插件head/kopf/bigdesk(使用篇)
01-07
案例: 练习插入,增加,删除查询数据 案例要求: 使用curl命令连接使用ES数据库 使用PUT方法增加数据 使用POST修改数据 使用GET查询数据 使用DELETE删除数据 增加数据 root@es1 bin]# curl -X PUT ...
Elasticsearch Head插件使用教程与功能介绍
资源摘要信息: "Elasticsearch-Head是一个专门为Elasticsearch搜索引擎设计的用户界面插件。它通过提供图形化的界面,使用户能够更容易地管理和与Elasticsearch集群进行交互。这个插件通常用于开发和调试环境,它...
elasticsearch-http-basic-1.5.1.jar
12-20
es安全认证工具 es安全认证工具
ElasticSearch http-basic增加访问限制插件全过程(实操可用)
windtears的博客
05-08 1217
ElasticSearch http-basic v1.0 访问限制插件
ElasticSearch未授权安全问题处理
sinat_22387459的博客
10-28 3048
问题原因 : ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。 通常情况下Elasticsearch 未对敏感信息进行过滤,...
解决elasticsearch未授权访问的安全问题
fang0604631023的博客
11-08 3496
解决elasticsearch未授权访问的安全问题
Elasticsearch-HTTP-Basic: 简化ElasticsearchHTTP基本认证
gitblog_00015的博客
03-14 859
Elasticsearch-HTTP-Basic: 简化ElasticsearchHTTP基本认证 elasticsearch-http-basicHTTP Basic Authentication for Elasticsearch (Discontinued)项目地址:https://gitcode.com/gh_mirrors/el/elasticsearch-http-basic El...
新版elasticsearch插件安装
rentian1的博客
01-15 308
https://github.com/mobz/elasticsearch-head http://mobz.github.io/elasticsearch-head Running There are multiple ways of running elasticsearch-head. Running with built in server git clone git://git...
HTTP使用BASIC认证的原理及实现方法
Jack huang的专栏
02-02 1312
一.   BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BA...
elasticsearch--http接口数据操作
panda-star的博客
03-17 1606
elasticsearchhttp接口数据操作 文章目录elasticsearch--http接口数据操作一、简介二、操作 一、简介 这里介绍通过http请求,对es进行索引和数据操作,分别包含了增删改查。 二、操作 这里直接上代码,解释请参考注释。 #!/usr/bin/env bash host="127.0.0.1" port=9200 index="stu" type="doc" #...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值