ELK安全设置(简化版)

最新推荐文章于 2024-08-23 09:47:52 发布
最新推荐文章于 2024-08-23 09:47:52 发布
阅读量621 收藏 2
点赞数 1
文章标签: elk 安全 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mjanime/article/details/128312420
版权

一、为ElasticSearch配置登录密码

    elasticsearch配置文件中添加:

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true   #这条不加,启动时报错

    启动elasticsearch

./bin/elasticsearch

设置用户密码,有两种方式,自动生成和手动生成,自动生成时系统会给每个用户生成随机密码,这个一定要单独记住;手动生成,根据提示给每个用户手动输入密码。

(1)自动生成密码:

./bin/elasticsearch-setup-passwords auto

(2)手动输入密码

./bin/elasticsearch-setup-passwords interactive

    配置kibana,在配置文件kibana.yml中添加

elasticsearch.username: "kibana_system"

    创建密码文件并设置密码对应用户的密码:

1、创建密码库

./bin/kibana-keystore create

2、存储密码

./bin/kibana-keystore add elasticsearch.password

    执行上述命令后,根据提示输入kibana_system用户的密码

3、启动kibana进行测试,这时再登录kibana会提示输入用户名和密码

./bin/kibana

二、设置通信加密

生成证书
在任一 Elasticsearch 节点上生成 CA 证书(记住密码,也可以不设置密码但不推荐)

证书输出默认位置 /usr/share/elasticsearch/elastic-stack-ca.p12(就是elasticsearch所在的文件夹的根目录)

/usr/share/elasticsearch/bin/elasticsearch-certutil ca

在刚才的节点上为集群节点生成证书和私钥
证书输出默认位置 /usr/share/elasticsearch/elastic-certificates.p12
elastic-certificates.p12 包含 node certificate、node key 和 CA 证书

/usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

将 elastic-certificates.p12 拷贝到集群所有节点的配置目录(与 elasticsearch.yml 同级),并修改文件 owner

sudo cp /usr/share/elasticsearch/elastic-certificates.p12 /etc/elasticsearch/
sudo chown elasticsearch:elasticsearch /etc/elasticsearch/elastic-certificates.p12

用 TLS 加密内部节点中的会话
本节的配置在所有节点进行
在 elasticsearch.yml里面配置 cluster.name、node.name
将证书密码存放到 Elasticsearch keystore

/usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
/usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

在集群所有节点重启 elasticsearch 实例

sudo systemctl restart elasticsearch

如果报权限错误:
java.nio.file.AccessDeniedException: /etc/elasticsearch/elastic-certificates.p12,修改证书所有者

sudo chown elasticsearch:elasticsearch /etc/elasticsearch/elastic-certificates.p12

在浏览器中访问测试:http://xx.xx.xx.xx:9200/

加密浏览器对 Elasticsearch 的访问

在开始生成 ca 证书的节点,生成 Certificate Signing Request (CSR)

/usr/share/elasticsearch/bin/elasticsearch-certutil http

Generate a CSR? [y/N] 第一步选 n,后面按提示输入 文件输出默认位置
/usr/share/elasticsearch/elasticsearch-ssl-http.zip

生成的 elasticsearch-ssl-http.zip 包含了 elasticsearch kibana 两个文件夹

/elasticsearch
|_ README.txt
|_ http.p12
|_ sample-elasticsearch.yml
/kibana
|_ README.txt
|_ elasticsearch-ca.pem
|_ sample-kibana.yml

将 elasticsearch/http.p12 文件拷贝到所有节点 Elasticsearch 的配置目录(与 elasticsearch.yml 同级)
打开配置文件 elasticsearch.yml,修改或添加以下内容

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: http.p12

保存密码到 key

/usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

重启 ES 集群
在浏览器中访问测试 https://xx.xx.xx.xx:9200/
加密 Kibana 对 Elasticsearch 的访问
将 kibana/elasticsearch-ca.pem 拷贝到 Kibana 的配置目录(与 kibana.yml 同级)
打开配置文件 kibana.yml,修改或添加以下内容

elasticsearch.ssl.verificationMode: none
elasticsearch.ssl.certificateAuthorities: /etc/kibana/elasticsearch-ca.pem


elasticsearch.ssl.certificateAuthorities: [ "/etc/kibana/elasticsearch-ca.pem" ]

将 elasticsearch.hosts 的配置由 http 改为 https

重启 Kibana

sudo systemctl restart kibana

在浏览器中访问测试 http://xx.xx.xx.xx:5601/

三、快速配置浏览器 https 访问 Kibana

为 Kibana 服务器生成证书和私钥

./elasticsearch-certutil cert --pem -name kibana-server --out /home/appuser/elk/elasticsearch-7.16.2/config/certs/certs.zip

生成的 certs.zip 包含了 ca kibana-server 文件夹

./certs
├── ca
│   └── ca.crt
└── kibana-server    
├── kibana-server.crt    
└── kibana-server.key

将 kibana-server.crt kibana-server.key 拷贝到 Kibana 的配置目录(与 kibana.yml 同级)

cp ./kibana-server/kibana-server.* /etc/kibana/

打开配置文件 kibana.yml,修改或添加以下内容

server.ssl.enabled: true
server.ssl.certificate: /etc/kibana/kibana-server.crt
server.ssl.key: /etc/kibana/kibana-server.key

重启 Kibana

sudo systemctl restart kibana

在浏览器中用 https 访问测试 https://xx.xx.xx.xx:5601/
可将 ca.crt 导入浏览器所在的操作系统,避免浏览器报 不安全的 https
证书小知识
*.key
通常指私钥
*.csr
CSR 是Certificate Signing Request的缩写,即证书签名申请这不是证书,这是要求 CA 给证书签名的一种正是申请,该申请包含申请证书的实体的公钥及该实体店某些信息。该数据将成为证书的一部分。CSR 始终使用它携带的公钥所对应的私钥进行签名。
*.crt
CRT 即 certificate 的缩写,即证书

四、配置logstash


```handlebars
syslog.conf
input{
    syslog {
        type => "rsyslog"
        port => 514
    }
}
filter{
}
output{
    elasticsearch {
        hosts => ["https://172.20.4.21:9200"]
        index => "rsyslog-%{+YYYY.MM}"
        user => "elastic"
        password => "kbm6GG6P2oX3835rdltC"
        ssl_certificate_verification => true
        truststore => "/home/appuser/elk/logstash-7.16.2/config/certs/http.p12"     #先把上面生成的http.p12拷贝到logstash/config/certs目录里
        truststore_password => ""                                                   #没有密码就这么写,差这个参数程序不启动
    }
}



参考链接:
https://blog.csdn.net/qq_20143059/article/details/112992016
https://blog.csdn.net/Dhjie_king/article/details/126651672
https://xie.infoq.cn/article/17e7e5de164cabc48fe4b7b90
https://xie.infoq.cn/article/3f6ba28bddad16a92f8101de0
https://blog.csdn.net/UbuntuTouch/article/details/126868040
毛毛和奶糖
关注
五、ELK设置用户密码登陆
万物皆可学
05-03 5842
网上很多用Nginx代理来做登陆验证功能,其实Elastic自带了访问控制功能。 Elasticsearch 设置 编辑 Elasticsearch 配置文件elasticsearch.yml vim /etc/elasticsearch/elasticsearch.yml 在最后面加上下面配置 开启验证功能 xpack.security.enabled: true 保存重启 Elasticsearch 服务 systemctl restart elasticsearch 重启后,执行下面命令设置密码
elk部署包简单版本11111
12-25
- 安全性考虑:ELK通常涉及敏感数据,应确保安装了必要的安全措施,例如启用SSL/TLS加密、设置访问控制等。 - 监控与维护:定期检查ELK组件的状态,监控性能指标,及时发现并解决问题。 总之,“elk部署包简单版本...
docker搭建单机elk设置密码
weixin_57730366的博客
02-02 705
/启动elasticsearch-setup-passwords interactive。elasticsearch.password: "密码"//elasticsearch.yml中添加。//kibana.yml中添加。logstash.yml中添加。# dockeran安装ELK环境。
ELK集群设置账号密码认证
zyy247796143的博客
05-28 1834
前提 在几篇中搭建的 ELK+Filebeat 集群中,版本都是7.16.1,其中ElasticSearch 有两个节点。默认都是无密码登录,所有人都可以登录操作,安全考虑可以设置密码认证。6.2或更早版本需要安装X-PACK,新版本已包含在发行版中,所以可以直接在 ELK 上进行配置。 1. ElasticSearch配置 1.1 生成证书 cd /usr/share/elasticsearch/bin ./elasticsearch-certutil ca ./elasticsearch-certuti
ELK进阶-安全认证设置流程介绍
最新发布
Young_深情不及里子的博客
08-23 1507
在数字化转型的浪潮中,企业对于数据的依赖日益增强,而日志数据作为业务运行的“脉络图”,其重要性不言而喻。ELFK(Elasticsearch, Logstash, Filebeat, Kibana)作为一套强大的日志监控系统,为企业提供了从数据采集、处理到可视化的完整解决方案。然而,随着数据价值的提升,安全问题也日益凸显,如何在享受ELFK带来的高效与便捷的同时,确保数据的安全与合规,成为了企业必须面对的挑战。安全认证,作为守护数据安全的第一道防线,其在ELFK系统中的必要性不容忽视。
设置ELK集群账号密码
weixin_40496191的博客
05-15 971
启动filebeat:nohup /home/es/filebeat-7.6.2-linux-x86_64/filebeat -e -c /home/es/filebeat-7.6.2-linux-x86_64/filebeat.yml &启动logstash:nohup /home/es/logstash-7.6.2/bin/logstash -f /home/es/logstash-7.6.2/config/logstash-sample.conf &将主节点证书发给其他两个节点。
docker部署ELK —— 启用安全模式(附yml文件)
zzixwx的博客
05-24 245
ELK 启动安全模式,新增密码
ELK 7.2开启安全访问
A_little的博客
10-31 490
(1)参考博客:https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security (2)按照博客步骤进行,需要注意的事,将ES主节点生成的认证文件复制到所有的ES节点中,然后启动所有节点,最后在主节点使用博客中的命令生成密码。 ...
elk示例-精简版
weixin_30323631的博客
03-09 95
作者:Danbo 2016-03-09 1.Grok正则捕获 input {stdin{}} filter { grok { match => { "message" => "\s+(?<request_time>\d+(?:\.\d+)?)\s+" } } } output {...
ELK设置密码(es、kibana、logstash)
weixin_53974140的博客
05-21 1070
关于ELK添加认证(加密)步骤
ELK 8.13.4 集群部署
05-29
3. **配置域名**:为 ELK 集群中的各个节点配置域名或主机名,有助于简化管理和维护过程。 #### 三、Elasticsearch 主节点部署 1. **下载安装包**:根据官方提供的最新版本或者指定版本(如 8.13.4),从 Elastic...
基于elk安全防护_V3.ppt
04-12
elk 安全防护 流量 elasticsearch logstash kibana kafka
elk-7.8.1一键安装
01-20
总的来说,"elk-7.8.1一键安装"简化了ELK Stack的部署流程,使得用户能够快速搭建起一个功能齐全的日志管理和分析平台。但需要注意的是,每个组织的环境和需求不同,因此可能需要根据实际情况进行相应的定制和调整。
一键安装elk-7.7.1
01-20
在实际应用中,"一键安装elk-7.7.1"可能会根据用户的需求和场景进行定制,例如添加安全设置、日志源的特定处理逻辑、监控告警等功能。这个过程简化了ELK栈的部署,减少了手动配置的工作量,使得用户能更快地享受到...
ELK全量安装包宝宝
05-27
5. **安装步骤**:首先,使用`tar`命令解压ELK压缩包,然后根据官方文档或提供的指南,配置每个组件的设置,如Elasticsearch的内存分配、Logstash的配置文件、Kibana的端口设置等。最后,启动各个服务,并确保它们...
使用ELK进行安全事件监测和响应
lonely_baby的博客
03-05 475
使用 Logstash 将收集的日志数据发送到 Elasticsearch,以便进行实时搜索和分析。使用 Elasticsearch 的搜索和分析功能来查找潜在的安全问题,例如异常登录、异常访问、异常文件传输等。警报可以通过邮件、短信或其他方式通知安全团队。总之,使用 ELK 进行安全事件监测和响应可以帮助组织及时检测并应对潜在的安全威胁。这些日志可以是操作系统日志、网络设备日志、Web 服务器日志、防火墙日志、数据库日志等。这个仪表盘可以显示各种统计信息,例如攻击来源、攻击目标、攻击类型、攻击时间等。
日志实时分析平台ELK部署(+shield安全组件)
pujiaolin的专栏
08-05 2879
安装ELK elasticsearch,logstash,kibana三个组件,直接下载rpm文件安装即可 Logstash ogstash的配置在正文中已经展示了我们现在87上的配置文件了。 logstash的配置由三部分组成 input,filter,output 分别是输入插件,过滤器插件,输出插件 配置都是依赖插件的使用,比如我们这里输入用了tcp插件,可以
ELK集群设置密码
山海有灵的专栏
06-26 468
访问地址 http://kibana服务IP:5601。进入elasticsearch容器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值