Elasticsearch shield权限管理详解

ElasticSearch本身没有权限管理模块,只要获取服务器的地址和端口,任何人都可以随意读写ElasticSearch的API并获取数据,这样非常不安全。如果获取了ES的访问IP和端口,一条命令就可以删除整个索引库。好在弹性公司开发了安全插件屏蔽来解决权限管理问题。  https://www.elastic.co/products/shield

一,屏蔽安装

bin/plugin install license
bin/plugin install shield
  • 1
  • 2

第二步:重启Elasticsearch

bin/elasticsearch
  • 1

第三步:添加管理员

bin/shield/esusers useradd adminName -r admin
  • 1

adminName是可以自定义的,执行该命令以后会提示输入密码,再次输入密码进行确认,之后管理员用户就添加成功了。

。再访问ES服务器中的数据就需要密码验证了在终端中执行之前的命令试一下:

curl -XGET "http://192.168.0.224:9200/blog/article/1?pretty"
{
  "error" : {
    "root_cause" : [ {
      "type" : "security_exception",
      "reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
      "header" : {
        "WWW-Authenticate" : "Basic realm=\"shield\""
      }
    } ],
    "type" : "security_exception",
    "reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
    "header" : {
      "WWW-Authenticate" : "Basic realm=\"shield\""
    }
  },
  "status" : 401
}

报安全异常,这时候需要把-u管理员名称加到命令中,截图方便理解:

这里写图片描述 
加入权限以后,在终端中每次执行操作都需要加参数并输入正确的密码。 
在浏览器中访问ES同样需要验证: 
这里写图片描述

二,Java Api中使用盾

加入权限管理以后在JAVA Api中需要做修改:

第一步:加入的jar包 
直接导入
。到elasticsearch  -2.3.3 /插件/屏蔽目录下拷贝盾2.3.3.jar,加到CLASSPATH中 
或者行家导入

<project ...>
   <repositories>
      <!-- add the elasticsearch repo -->
      <repository>
         <id>elasticsearch-releases</id>
         <url>https://maven.elasticsearch.org/releases</url>
         <releases>
            <enabled>true</enabled>
         </releases>
         <snapshots>
            <enabled>false</enabled>
         </snapshots>
      </repository>
      ...
   </repositories>
   ...
   <dependencies>
      <!-- add the shield jar as a dependency -->
      <dependency>
         <groupId>org.elasticsearch.plugin</groupId>
         <artifactId>shield</artifactId>
         <version>2.2.0</version>
      </dependency>
      ...
   </dependencies>
   ...
 </project>

第二步:修改设置:

import org.elasticsearch.shield.ShieldPlugin;

Settings settings = Settings.settingsBuilder()
      .put("cluster.name", "bropen")
                   .put("shield.user","bropen:password")
                   .build();

第三步:修改客户端

Client client = TransportClient.builder()
        .addPlugin(ShieldPlugin.class)
                 .settings(settings).build()
                 .addTransportAddress(new      
InetSocketTransportAddress(InetAddress.getByName("192.168.0.224"), 9300));

三,盾用户管理

3.1新增用户

./elasticsearch-2.3.3/bin/shield/esusers  useradd bropen
  • 1

后回车输入侧两次密码确认 
输入侧新密码: 
重新输入新密码:

3.2查看用户

./elasticsearch-2.3.3/bin/shield/esusers list

会列出当前所有的用户和角色:

es_admin       : admin
bropen         : admin

3.3修改密码

给用户名为bropen的管理员修改密码:

./elasticsearch-2.3.3/bin/shield/esusers  passwd bropen

回车后输入两次密码确认


Enter new password:
Retype new password:

3.4删除用户

./elasticsearch-2.3.3/bin/shield/esusers userdel bropen

查看所有可用命令:

  ./elasticsearch-2.3.3/bin/shield/esusers  -h

如果在head中出现cluster health:not connected的情况,如下图: 
这里写图片描述

可以查看当前用户是不是管理员角色:

./elasticsearch-2.3.3/bin/shield/esusers list

给名为bropen的管理员添加角色:

./elasticsearch-2.3.3/bin/shield/esusers roles bropen -a admin

官网关于Shield的Java api说明:https: 
//www.elastic.co/guide/en/shield/current/_using_elasticsearch_java_clients_with_shield.html

手册盾参考 

https://www.elastic.co/guide/en/shield/current/index.html


原来是在虚拟机中测试,访问头插件集群状态一直显示为未连接,

然后将es整个文件拷贝到实体机启动服务 集群状态就绿色

很奇怪,求大佬讲解

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值