ElasticSearch 用户、权限控制

最新推荐文章于 2024-03-12 12:00:00 发布
最新推荐文章于 2024-03-12 12:00:00 发布
阅读量2.5k 收藏 3
点赞数
文章标签: es
原文链接:https://my.oschina.net/u/2944278/blog/2055618
版权

    当前直接使用ElasticSearch以及通过Kibana访问时,没有做任何限制,没有做用户和权限的控制,安全性上有一定风险,因此通过ES提供的X-PACK来实现这一需求。同样是基于ES5.5版本。官网简介如下:X-Pack是一种Elastic Stack扩展,可将安全性,警报,监控,报告和图形功能捆绑到一个易于安装的软件包中。 虽然X-Pack组件可以无缝协同工作,但您可以轻松地启用或禁用要使用的功能。可见,本文所述的相关功能只是这个扩展包的一小部分功能。

  1. ElasticSearch安装X-Pack,通过执行ES_HOME下的bin/elasticsearch-plugin install 命令安装,注意要使用启动es的用户,不要用root用户,集群中的每一个节点都需要执行:  
    bin/elasticsearch-plugin install x-pack

    官网还介绍了其他的安装方式,点这里。安装完成后,重启ES,启动日志中能看到x-pack:


    通过浏览器,再次访问时,会弹出提示输入用户名密码,输入默认的用户名/密码:elastic/changeme,即可。

  2. Kibanna安装X-Pack,和es安装类似,通过执行KIBANA_HOME下的bin/kibana-plugin install 命令安装,也有其他安装方式
  3. 用户管理
    x-pack提供了标准的rest api用于个用户、角色、权限等管理。详见
    (1)查看所有用户:curl -XGET -u elastic 'localhost:9200/_xpack/security/user',结果如下: 
    {
	"elastic": {
		"username": "elastic",
		"roles": ["superuser"],
		"full_name": null,
		"email": null,
		"metadata": {
			"_reserved": true
		},
		"enabled": true
	},
	"kibana": {
		"username": "kibana",
		"roles": ["kibana_system"],
		"full_name": null,
		"email": null,
		"metadata": {
			"_reserved": true
		},
		"enabled": true
	},
	"logstash_system": {
		"username": "logstash_system",
		"roles": ["logstash_system"],
		"full_name": null,
		"email": null,
		"metadata": {
			"_reserved": true
		},
		"enabled": true
	}
}

    可见,有三个默认用户,分别对应elastic,kibana,logstash三个系统,用户拥有不同的角色组。
    (2)查看某一用户:curl -XGET -u elastic 'localhost:9200/_xpack/security/user/elastic'
    (3)删除某一用户:curl -XDELETE -u elastic 'localhost:9200/_xpack/security/user/userName'
    (4)创建用户:见5

  4. 角色管理
    (1)查看所有角色:curl -XGET -u elastic 'localhost:9200/_xpack/security/role'
    (2)查看某一角色:curl -XGET -u elastic 'localhost:9200/_xpack/security/role/superuser'
    (3)删除某一角色:curl -XDELETE -u elastic 'localhost:9200/_xpack/security/role/roleName'
    (4)创建角色:见5
  5. 添加自己的用户
    创建用户需要指定其拥有的权限,可以使用系统默认的角色,也可以自己创建角色,如下: 
    curl -XPOST -u elastic 'localhost:9200/_xpack/security/role/testRole' -H "Content-Type: application/json" -d '{"cluster":["all"],"indices":[{"names":["*"],"privileges":["all"]}]}'

    然后:

    curl -XPOST -u elastic 'localhost:9200/_xpack/security/user/testUser' -H "Content-Type: application/json" -d '{
  "password" : "test",
  "full_name" : "test user",
  "email" : "test@test",
  "roles" : [ "testRole" ],
  "metadata" : {
    "intelligence" : 7
  }
}'

    testUser是创建的用户名。用户名必须至少为1个字符且不得超过30个字符。 第一个字符必须是字母(a-z或A-Z)或下划线(_)。 后续字符可以是字母,下划线(_),数字(0-9)或以下任何符号@, - ,。 或$。

    其中password和roles是必填字段,其余三个可选。

    创建结果如下,如果用户已存在,则会更新,结果中的created为false。

    {
  "user": {
    "created" : true 
  }
}


    注意:上文提到的三个默认用户,是系统保留用户,不允许创建或修改,它们默认的角色亦是如此。
     

  6. 在代码中使用es用户管理
    如果对es开启了用户管理,而代码服务没有使用用户,会报如下错:
    Invocation of init method failed; nested exception is NoNodeAvailableException[None of the configured nodes are available: [{#transport#-1}{dBISQCNcS4qAzYgKerYURA}{localhost}{localhost:9300}]]
    需要在代码中指定用户。
    首先引入依赖包: 
    <dependencies>
    <dependency>
        <groupId>org.elasticsearch.client</groupId>
        <artifactId>x-pack-transport</artifactId>
        <version>5.5.0</version>
    </dependency>
</dependencies>

    代码示例如下: 
    import org.elasticsearch.xpack.client.PreBuiltXPackTransportClient;
...

TransportClient client = new PreBuiltXPackTransportClient(Settings.builder()
        .put("cluster.name", "myClusterName")
        .put("xpack.security.user", "userName:password")
        ...
        .build())
    .addTransportAddress(new InetSocketTransportAddress("localhost", 9300))
    .addTransportAddress(new InetSocketTransportAddress("localhost", 9301));

    详见官网
haonanhai1688
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch_xpack
03-23
x-pack为elasticsearch, logstash, kibana提供了监控,报警,用户认证等功能,属于一个集成的插件。如果不使用X-PACK,自己来监控的话通常是使用zabbix+ API监控和报警。 但是ES默认不需要用户和密码登入,如果ES环境比较大,权限控制还是比较重要,也算是穿了件衣服,不那么容易曝光。
ES-cat相关命令
darkness0604的博客
06-23 2455
/_cat/allocation #查看单节点的shard分配整体情况 /_cat/shards #查看各shard的详细情况 /_cat/shards/{index} #查看指定分片的详细情况 /_cat/master #查看master节点信息 /_cat/nodes #查看所有节点信息 /_cat/indices #查看集群中所有index的详细信息 /_cat/indices/{index} #
浅谈Elasticsearch安全和权限管理
wangluoanquan111的博客
03-12 926
除了预定义的角色外,还可以创建自定义角色。例如,创建一个名为read_only创建一个名为。
Elasticsearch:Metadata fields - 元数据字段介绍
Elastic 中国社区官方博客
06-22 2258
每个文档都有与之关联的元数据,例如 _index 和 _id 元数据字段。 创建映射时,可以自定义其中一些元数据字段的行为
elasticsearch部署踩坑Permission denied等问题
qq_39712282的博客
12-31 4860
关于启动elasticsearch时报Permission denied的问题 在安装目录/etc/elasticsearch/bin下 ./elasticsearch 报错内容 ./elasticsearch-env: line 70: /etc/sysconfig/elasticsearch: Permission denied 使用root 用户执行以下命令: chown -R es /etc/elasticsearch chown -R es /usr/share/elasticsearch/
Elasticsearch用户安全设置
Elastic 中国社区官方博客
10-29 8042
Elastic Stack的组件是不安全的,因为它没有内置的固有安全性。 这意味着任何人都可以访问它。 在生产环境中运行Elastic Stack时,这会带来安全风险。 为了防止生产中未经授权的访问,采用了不同的机制来施加安全性,例如在防火墙后运行Elastic Stack并通过反向代理(例如nginx,HAProxy等)进行保护。 Elastic提供商业产品来保护Elastic Stack。 此...
Elasticsearch 的角色和权限管理
互联网知识分享
07-28 2999
的角色和权限管理功能可以实现对用户访问的控制。通过创建角色和权限,可以对中的资源进行授权,通过设置用户认证和访问控制,可以实现对用户访问的限制。在实际应用中,可以根据需要创建不同的角色和权限,来满足系统的安全性和隐私保护需求。
Elasticsearch用户,角色权限的关系
qq_39166937的博客
03-03 2077
Elasticsearch创建用户和角色以及用法
Elasticsearch权限控制
weixin_56432168的博客
12-30 1505
Elasticsearch权限控制
Elasticsearch基础命令
qq_39166937的博客
06-30 1150
Elasticserach基础命令
Elasticsearch 用户管理
这个需求,做不了
04-04 2162
这些内置用户存储在一个特殊的.security索引中,该索引由 Elasticsearch 管理。如果内置用户被禁用或其密码发生更改,更改会自动反映在集群中的每个节点上。但是,如果你的.security索引被删除或从快照恢复,你应用的任何更改都将丢失。
MLSQL编译时权限控制示例详解
01-19
MLSQL需要面对各式各样的资源访问,比如MySQL, Oracle,HDFS,Hive,Kafka,Sorl,ElasticSearch,Redis,API,Web等等,不同用户对这些数据源(以及表,列)的权限是不一样的。 传统模式是,每个用户都需要有个proxy ...
elasticsearch-extractor:简单的Web UI可将任何索引从Elasticsearch快照中提取到存储库中
05-24
elasticsearch-extractor是一个简单的... 虽然我们很喜欢,它给你的权力太大了Elasticsearch集群和不允许你控制权限,为用户。 这就是我们最终创建一个更简单的工具来实现唯一功能的方法:从Elasticsearch快照中提取索
word源码java-ElasticSearch-Simple-Share:组内关于ElasticSearch的简单使用说明内容分享
06-05
权限控制&监控 中文姓名检索不准确 参考(Copy)内容 简介 ElasticSearch是一个基于Lucene(路(第一声)森(第三声))的搜索服务器。 它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web(Delete、Post、...
SpringBoot 后台权限框架搭建
02-22
SpringBoot 后台权限框架搭建:主要实现后端权限管理系统,包括用户管理、 角色管理、部门管理、菜单管理...实现动态路由加载,树形结构展示、表格数据展示,集成elasticsearch搜索引擎、rabbitmq队列等第三方中间件。
UPS、蓄电池、空开、电缆配置计算方法.pptx
04-27
5G通信行业、网络优化、通信工程建设资料
node-v7.4.0.tar.xz
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Unity mesh减面工具 Mesh Simplify 1.12
04-27
Unity mesh减面工具 Mesh Simplify 1.12
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值