elasticsearch 配置安全认证X-pack

最新推荐文章于 2024-05-23 14:19:05 发布
最新推荐文章于 2024-05-23 14:19:05 发布
阅读量2.4k 收藏 9
点赞数 2
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43164571/article/details/114979227
版权

在ElasticSearch6.8及以上版本开启安全认证功能

es之前版本一直无用户验证功能,不过官方有提供一x-pack,但是问题是付费。在es的6.7.0版本中,已经集成了x-pack,虽然es团队已经对x-pack开源,但是在该版本中如果需要使用到安全加密功能,依然还是需要付费购买license,search guard社区版可以免费提供用户验证功能。

本文章使用的是6.5.4版本,内置已经带有X-pack我们只需要启用一下就可以、如果你用的版本没有自带x-pack就需要安装一下

bin/elasticsearch-plugin install x-pack

实验环境:

主机服务
172.16.3.225/21Elasticsearch
172.16.3.226/21Elasticsearch
172.16.3.227/21Elasticsearch

实验步骤:

首选需要查看一下当前master是谁

[root@k8s-master01 ~]# curl 172.16.3.225:9200/_cat/master
M6Uqfm0tQOOSu6rtTegEAw 172.16.3.226 172.16.3.226 elk02

1、在Master启动trial license

如果已经有正式license可以忽略这个步骤

随便在一台机器上执行命令激活xpack

[root@k8s-node01 ~]# curl -H "Content-Type:application/json" -XPOST  http://172.16.3.226:9200/_xpack/license/start_trial?acknowledge=true

1.2、es开启xpack

[root@k8s-node01 ~]# su - elk -s /bin/bash
[elk@k8s-node01 ~]$ vim /usr/local/elasticsearch-6.5.4/config/elasticsearch.yml 
xpack.security.enabled: true

设置密码,在master设置,node节点可以同步该用户名/密码

到此为止完成xpack集群,目前无SSL。

2、使用SSL

2.1、在master节点生成证书

[root@k8s-node01 ~]$ cd /usr/local/elasticsearch-6.5.4/
[root@k8s-node01 elasticsearch-6.5.4]$ ./bin/elasticsearch-certutil ca

2.2、为集群中的每个节点生成证书和私钥

[root@k8s-node01 elasticsearch-6.5.4]$ ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

回车即可,若创建密码切记一致

2.3、将证书拷贝到elasticsearch的每个节点下面config/certs目录下

[root@k8s-node01 elasticsearch-6.5.4]$ mkdir config/certs
[root@k8s-node01 elasticsearch-6.5.4]$ mv elastic-certificates.p12 config/certs/

2.4、每个节点配置elasticsearch.yml

[root@k8s-node01 elasticsearch-6.5.4]$ vim config/elasticsearch.yml 
最后一行添加:
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

2.5、5.如果在创建证书的过程中加了密码,需要将你的密码加入到你的Elasticsearch keystore中去。每个节点都需要

[root@k8s-node01 elasticsearch-6.5.4]$ bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[root@k8s-node01 elasticsearch-6.5.4]$ bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

3、给认证的集群创建用户密码

这里我用的是自动生成,因为我使用手动生成他老是出现apm_system设置失败

[root@k8s-node01 elasticsearch-6.5.4]$ bin/elasticsearch-setup-passwords interactive  # 手动创建密码
[root@k8s-node01 elasticsearch-6.5.4]$ bin/elasticsearch-setup-passwords auto		  # 自动生成

elastic 账号:拥有 superuser 角色,是内置的超级用户。
kibana 账号:拥有 kibana_system 角色,用户 kibana 用来连接 elasticsearch 并与之通信。Kibana 服务器以该用户身份提交请求以访问集群监视 API 和 .kibana 索引。不能访问 index。
logstash_system 账号:拥有 logstash_system 角色。用户 Logstash 在 Elasticsearch 中存储监控信息时使用。
beats_system账号:拥有 beats_system 角色。用户 Beats 在 Elasticsearch 中存储监控信息时使用。
elastic是超级用户

3.5、修改密码

curl -H "Content-Type:application/json" -XPOST -u elastic 'http://172.16.3.226:9200/_xpack/security/user/elastic/_password' -d '{ "password" : "123456" }'

测试一下es是否现在需要用户登录么
http://172.16.3.225:9200/、http://172.16.3.226:9200/、http://172.16.3.227:9200/
在这里插入图片描述
如果通过密码可以登录进来就说明没有问题
在这里插入图片描述

4、在Kibana中设置登录es的用户

在Kibana.yml中配置

elasticsearch.username: "xxx"
elasticsearch.password: "xxx"

如果你不想将用户ID和密码放在kibana.yml文件中明文配置,可以将它们存储在密钥库中。运行以下命令以创建Kibana密钥库并添加配置

bin/kibana-keystore create
bin/kibana-keystore add elasticsearch.name
bin/kibana-keystore add elasticsearch.password
#删除
bin/kibana-keystore remove xxxx

重启Kinan

5、带密码查询es

curl -XGET --user user:passwd 'http://XXXX:9200/XX/XXX'

比如想要清空某个索引下的数据:

curl -XPOST  --user admin:admin 'http://XXXX:9200/XXXX/XXX/_delete_by_query'  -H "Content-Type: application/json" -d '{ "query":{"match_all":{}}}'

查看X-pack过期时间

[root@k8s-node02 kibana-6.5.4-linux-x86_64]# curl -u elastic:123456 -XGET 'http://172.16.3.225:9200/_xpack/license'	# 如果用的是默认的话过期时间是一个月,一个月过后就无法使用
{
  "license" : {
    "status" : "active",
    "uid" : "6015cd0f-afa8-4869-9e95-264bb69fd10e",
    "type" : "platinum",
    "issue_date" : "2021-03-20T00:00:00.000Z",
    "issue_date_in_millis" : 1616198400000,
    "expiry_date" : "2021-04-19T06:50:00.000Z",
    "expiry_date_in_millis" : 1561420799999 ,
    "max_nodes" : 100,
    "issued_to" : "chinaedu chinaedu (chinaedu)",
    "issuer" : "Web Form",
    "start_date_in_millis" : 1616198400000
  }
}
运维生涯记录
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
ELK使用总结:es配置X-PACK验证
01-20
elasticsearch x-pack验证模块部署 这个文章的缘由: 开发的童鞋一直想在es上加一道验证,但是之前的es集群都没有对这个进行部署,被找了几次,还是给弄了个,但是有点坑啊,看官方说明,这个没有lisence 就只能免费用一个月,先用着吧,部署过程和参考文档如下,无坑详细教学,都是本人实际详细操作: 官方安装文档:https://www.elastic.co/guide/en/elasticsearch/reference/5.5/installing-xpack-es.html 模块下载地址:https://artifacts.elastic.co/downloads/pa
ElasticSearch x-pack破解版 license.json
01-31
ElasticSearch x-pack破解版 license.json 配合x-apcx.jar使用 x-pack5.6.4.jar链接:http://download.csdn.net/download/qq_21165007/10234323
Elasticsearch:保护你的 Elasticsearch 实例 - 如何使用带有内置证书的 Docker 镜像
Elastic 中国社区官方博客
02-27 1322
使用 docker 来构建 Elasticsearch 集群为开发者们带来了极大的方便。我详细地描述了如何使用 Elastic 所提供的 docker 镜像来安装 Elasticsearch。在今天的文章中,我来详述如何来构建一个带有安全配置的 docker 镜像。希望这对你的开发有帮助。Elasticsearch 是一个功能强大且流行的搜索引擎,被许多公司所使用。但是,如果 Elasticsearch 实例没有得到适当的保护,它们可能容易受到安全威胁。
Elasticsearch开启安全认证
最新发布
weixin_44024436的博客
05-23 391
中间会让输入路径跟密码,路径可以不输,直接回车,完成后会生成一个文件:elastic-stack-ca.p12。一个ES集群生成一个凭证就可以了,其他节点不需要生成凭证。根据提示一步一步配置内置用户,并记住用户名和密码。2.启动es,启动后另开终端配置内置用户。1.打开yml,配置开启安全认证。6.配置内置用户,同单节点。3.将凭证迁移到指定目录。5.各个节点上添加密码。输入第2步设置的密码。
elasticsearch-7-x使用xpack进行安全认证
q908544703的博客
12-19 1645
Elasticsearch 未授权访问
Elasticsearch7.5.0安全(xpack)之身份认证
Zheng.Zeng的博客
06-14 1770
为什么会谈到ElasticSearch安全问题呢?因为在针对外网使用ElasticSearch没有开启安全保障(xpack),很容易遭到黑客的攻击,特别就是依赖于ElasticSearch响应数据的项目,一定要注意这一点,要是黑客扫描到你的ElasticSearch地址,直接执行DELETE /_all命令,就会导致项目直接瘫痪。想想这个风险还是很大的。 当然解决方式也有很多种,今天小编就带大家了解一下xpack怎么使用吧 ............
Elasticsearch安全认证
JesJiang的博客
05-09 4924
6.8之前免费版本并不包含安全认证功能 免费版本 TLS 功能,可对通信进行加密 文件和原生 Realm,可用于创建和管理用户 基于角色的访问控制,可用于控制用户对集群 API 和索引的访问权限; 通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。 收费版本包含更丰富的安全功能,比如: 日志审计 IP过滤 LDAP、PKI和活动目录身份验证 单点登录身份验证(SAML、Kerberos) 基于属性的权限控制 字段和文档级别安全性 静态数据加密支持 需要同时在ES和
elasticsearch7.6、kibana7.6开启x-pack
04-08
Elasticsearch 7.6 和 Kibana 7.6 开启 X-Pack,支持 HTTPS 访问 ES,增加 ES 用户认证,增强数据安全,Kibana 支持用户权限分配,支持汉化。 Elasticsearch 7.6 和 Kibana 7.6 的 X-Pack 是一组商业功能,提供了...
x-pack-sql-jdbc.rar
09-01
这个驱动的两个版本——x-pack-sql-jdbc-7.7.1.jar和x-pack-sql-jdbc-7.5.1.jar,分别对应Elasticsearch的7.7.1和7.5.1版本,确保与不同版本的Elasticsearch系统兼容。 1. **JDBC接口介绍** JDBC是Java中用于访问...
x-pack-core-6.6.0.jar
01-16
X-Pack便是Elasticsearch为解决这一问题而推出的官方安全解决方案,其中的X-Pack Core 6.6.0.jar是其核心组件,用于实现Elasticsearch安全访问控制,包括用户认证、权限管理等关键功能。 1. **X-Pack简介** X-...
X-pack的license破解
09-14
亲测有效的破解方法 自己破解的,帮你分分钟搞定。
x-pack-transport-6.4.2.jar
08-08
elasticsearch配置x-pack后,我们需要引入该jar包,进行认证配置后,才可以连接上es,进行相关操作。
Elasticsearch6.2.2 X-Pack部署及使用详解
热门推荐
铭毅天下Elasticsearch
03-20 1万+
X-Pack已经开源,预计Elasticsearch6.3版本会全面集成,不再收费。 赶紧体验一下强大的X-pack吧! 1、 X-Pack 概览 X-Pack 简介 1)利用 X-Pack 拓展可能性。 X-Pack 是集成了多种便捷功能的单个插件 — security、alerting、monitoring、reporting、graph 探索和 machine learning...
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
Innocence_0的博客
02-20 1623
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
x-pack更新license
w01k
06-04 631
申请一个免费trial license(https://license.elastic.co/registration) ,下载license,保存为license.json。 查看当前license:curl -XGET -u elastic:xxxx 'http://127.0.0.1:9200/_license' 更新:curl -XPUT -u elastic:xxxx 'http:/...
Elastic Stack X-Pack 插件 更新 Updating Your License
AbnerSunYH的博客
12-02 6844
更新license,Updating Your License 官方文档 https://www.elastic.co/guide/en/x-pack/current/installing-license.html 注册用户获取基础license,有效期1年 https://register.elastic.co/xpack_register
ES之x-pack-core-7.14.2许可证修改为白金版
w2909526的博客
11-23 762
X-packelasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,虽然x-pack被设计为一个无缝的工作,但是你可以轻松的启用或者关闭一些功能。拷贝ES目录下 ./modules/x-pack-core/x-pack-core-7.14.2.jar 文件并解压。替换./modules/x-pack-core/x-pack-core-7.14.2.jar。1、修改x-pack-core-7.12.0.jar。用以下两个java文件重新编译之后替换。
ECK安装elasticsearch集群及es配置x-pack
hjseo_seg的博客
08-16 525
设置node.store.allow_mmap: false对性能有影响,应针对虚拟虚拟机一节中所述的生产工作负载进行调整。访问es,ECK会给es创建cluster IP,ECK自动集成了X-PACK插件,分别通过。将证书文件生成到指定的目录下,这里指定为/etc/elasticsearch。此处操作为,在一台机器上生成,然后分发到集群中的其他机器上,文件要保持一致。es6.8以上的版本默认集成了x-pack,但是需要配置开启。创建单个节点的es operator自动创建节点。ECK安装的前提条件。...
Elasticsearch X-Pack配置监控
06-10
好的,关于Elasticsearch X-Pack的监控配置,我可以为您提供一些基本的指导。 首先,您需要确保已经安装和配置Elasticsearch X-Pack插件。接下来,您需要在Elasticsearch集群中启用监控。这可以通过在elasticsearch.yml文件中设置以下参数来完成: ``` xpack.monitoring.enabled: true ``` 启用监控后,Elasticsearch会开始收集集群的各种指标和统计信息。但是,这些信息可能需要进行可视化和报告,以便更好地理解和分析它们。为此,您可以使用Kibana来创建仪表板和报告。 在Kibana中,您可以使用监控仪表板来查看Elasticsearch集群的各种统计信息,例如节点状态、索引存储、搜索响应时间等。您还可以使用警报功能来设置阈值,并在达到阈值时接收通知。 最后,您还可以使用Elasticsearch Watcher来定期检查Elasticsearch集群的状态,并在出现问题时发送警报。Watcher可以配置为检查集群的各种指标,例如节点状态、索引存储、搜索响应时间等。 希望这些信息对您有所帮助。如果您还有其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维生涯记录

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值