ElasticSearch7.10配置Search-Guard

置顶 已于 2023-01-17 11:53:43 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: ElasticSearch Search Guard 文章标签: elasticsearch
于 2021-06-27 14:33:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43925043/article/details/118274064
版权

ElasticSearch7.10配置Search-Guard

1.下载elasticsearch7.10

2. 修改系统属性

$ vim  /etc/security/limits.conf

* soft nofile 655360
* hard nofile 655360
* soft nproc 65536
* hard nproc 65536

$ vim /etc/sysctl.conf

vm.max_map_count=262144

3. 增加es组和es用户

3.1 创建

$ groupadd es

$ useradd es -g es

$ passwd  es

3.2 修改es的属组

$ chown -R es:es /home/software/es_ssl/

4. 服务安全配置

选择一个你想去生成如下证书的类型:

  • 1.每个节点的证书

  • 2.一个admin证书

在每个节点上使用相同的证书它是可以的。但是不安全的,你不能使用主机名验证和搜索守卫的DNS查询功能去检查TLS证书的有效性。

4.1 网址

插件:

https://docs.search-guard.com/latest/search-guard-versions

选择 example PKI script 脚本生成器:

https://docs.search-guard.com/latest/search-guard-installation

4.2 配置 example

4.2.1 前提条件
  • 1.openssl version

确保版本1.0.1k 或者更高

  • 2.keytool

输入在服务器上,会出现一个list的命令。如果没有,确保JDK已安装且环境配置OK。

4.2.2 生成证书

https://git.floragunn.com/search-guard/legacy/search-guard-ssl/-/tree/master

这个是ssl 的代码仓库

4.3 第一次安装:所有的集群重启

第一次安装搜索守卫在集群上总是需要全部重启。TLS加密在Elastsearch的传输层是强制性的。并且所有的节点都已经安装守卫能够互相通话。如果搜索守卫已经安装,现在想去更新,使用如下链接:

https://docs.search-guard.com/latest/upgrading

4.3.1 通常

  • 1.禁用分片分配

  • 2.停止所有节点

  • 3.在所有节点安装搜索守卫插件

  • 4.在elasticsearch.yml中配置TLS

  • 5.重启elasticsearch且检查节点状态

  • 6.重新启动分片分配功能通过使用sgadmin
    https://docs.search-guard.com/latest/sgadmin

  • 7.配置认证/授权,用户、角色和权限,通过使用搜索守卫的sgadmin

4.4 安装Search Guard

4.4.1可以使用Elasticsearch的bin/elasticsearch-plugin安装命令
$ bin/elasticsearch-plugin install -b file:///path/to/search-guard-7-<version>.zip

可能会出现额外的权限窗口,在安装过程中,确定“y“

4.4.2可以下载匹配Elasticsearch版本的Search Guard

https://docs.search-guard.com/latest/search-guard-versions

4.5 增加TLS配置

对于各类证书的路径都要指定Elasticsearch的config目录。

4.5.1 传输配置
searchguard.ssl.transport.pemcert_filepath: <path_to_node_certificate>
searchguard.ssl.transport.pemkey_filepath: <path_to_node_certificate_key>
searchguard.ssl.transport.pemkey_password: <key_password (optional)>
searchguard.ssl.transport.pemtrustedcas_filepath: <path_to_root_ca>
searchguard.ssl.transport.enforce_hostname_verification: <true | false>
searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test, C=de

这个“searchguard.authcz.admin_dn“配置admin证书,你可以使用”sgadmin“或者REST 管理API。你需要去声明证书的完整DN,并且可以配置多个管理证书。

4.5.2 TLS—HTTPS
searchguard.ssl.http.enabled: true
searchguard.ssl.http.pemcert_filepath: <path_to_http_certificate>
searchguard.ssl.http.pemkey_filepath: <path_to_http_certificate_key>
searchguard.ssl.http.pemkey_password: <key_password (optional)>
searchguard.ssl.http.pemtrustedcas_filepath: <path_to_http_root_ca>
4.5.3 elasticsearch.yml配置Demo

Search Guard官网

searchguard.ssl.transport.pemcert_filepath: esnode.pem
searchguard.ssl.transport.pemkey_filepath: esnode-key.pem
searchguard.ssl.transport.pemtrustedcas_filepath: root-ca.pem
searchguard.ssl.transport.enforce_hostname_verification: false
searchguard.ssl.http.enabled: true
searchguard.ssl.http.pemcert_filepath: esnode.pem
searchguard.ssl.http.pemkey_filepath: esnode-key.pem
searchguard.ssl.http.pemtrustedcas_filepath: root-ca.pem
searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test,C=de
4.5.4 REST管理API

在elasticsearch.yml中加入

searchguard.restapi.roles_enabled: ["SGS_ALL_ACCESS"]

4.6 重新启用分片分配功能

在集群重新启动之后
Example using sgadmin

./sgadmin.sh --enable-shard-allocation
 -cert ./kirk.pem -key ./kirk-key.pem -cacert ./root-ca.pem

4.7 初始化Search Guard

https://docs.search-guard.com/latest/sgadmin

4.7.1 sgadmin初始化

https://docs.search-guard.com/latest/sgadmin-examples

./sgadmin.sh \
   -cd ../sgconfig/ \
   -cacert /path/to/root-ca.pem \
   -cert /path/to/kirk.crt.pem \
   -key /path/to/kirk.key.pem  \
   -keypass changeit
   -nhnv
   -icl

在这里插入图片描述

4.7.2 出现ERROR

在上一步骤成功之后,在elasticsearch上出现了ERROR,我们来看下是哪些。
在这里插入图片描述

No data for internalusers while retrieving configuration for [INTERNALUSERS, ACTIONGROUPS, CONFIG, ROLES, ROLESMAPPING, TENANTS, BLOCKS] (index=searchguard and type=null)

这个的意思是在sgconfig目录下的配置文件中的内置用户配置文件sg_internal_users.yml等,没有对应的数据。

4.7.3 网页上访问

在这里插入图片描述
admin:admin登录即可

4.7.3 集群6.x 到 集群7.x

在Search Guard插件tools目录中,当你在集群6.x中执行完“configuration backup“,可以使用sgadmin离线迁移存在的文件。
https://docs.search-guard.com/latest/sgadmin-configuration-changes
当你已经迁移后,你可以更新它们对于集群7.x

./sgadmin.sh 
    --migrate-offline /path/to/configdirectory/  
    -cacert /path/to/root-ca.pem 
    -cert /path/to/admin-certificate.pem 
    -key /path/to/admin-certificate-key.pem

Example:

./sgadmin.sh 
    -mo ../sgconfig/  
    -cacert ../../../root-ca.pem 
    -cert ../../../kirk.pem 
    -key ../../../kirk.key.pem
4.7.2 配置认证和授权

Search Guard带有可插拔的身份验证和授权模块。根据你的用例和基础设施,你可以使用一个或多个身份验证和授权模块,如:

  • 1.Search Guard 内置用户
  • 2.LDAP 和 Active目录
  • 3.Kerberos
  • 4.JSON Web Token
  • 5.Proxy Authentication

5.Search Guard Health Check

接着上面讲,Search Guard安装最后呢,需要查看一下健康状态。
如果Search Guard已经安装,并且跑了起来,可以通过如下命令,查看健康状态。

https://<hostname>:9200/_searchguard/health

它的返回是一个JSON串。

{
  message: null,
  mode: "strict",
  status: "UP"
}
山沉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Search-Guard安装详细教程
11-23
Search-GuardElasticsearch的一个免费安全插件,它提供身份验证和授权 ,这里上传的是居于elasticsearch2.3的安装详细教程,包括java中如何连接都有完整的例子,网上很多都不完整,这是作者踩过了无数的坑后整理出来的,希望对大家有帮助。
ElasticSearch——安全 Search Guard
世界中心的专栏
02-25 6305
安全——免费插件 Search Guard Search Guard 简介 Search Guard是一个Elasticsearch的AAA plugin,特性包括: 权限控制粒度可以到indices, types,甚至可以到过滤field层次。也可以限制用户行为,read, write, admin; 提供多种HTTP认证方式,包括Basic, Proxy header, SPNEGO/
Elasticsearch 免费认证插件Search-guard的部署安装及策略配置
热门推荐
很多时候,你缺少的不是知识而是热情
09-14 1万+
背景: 当前es正在被各大互联网公司大量的使用,但目前安全方面还没有一个很成熟的方案,大部门都没有做安全认证或基于自身场景自己开发,没有一个好的开源方案 es官方推出了shield认证,试用了一番,很是方便,功能强大,文档也较全面,但最大的问题是收费的,我相信中国很多公司都不愿去花钱使用,所以随后在github 中找到了search-guard项目,接下来我们一起来了解并部署此项目到我们
SearchGuard证书配置
刘军的博客
09-05 2698
参考: https://www.jianshu.com/p/cc71e7793f6f TLS工具安装 下载TLS工具 https://repo1.maven.org/maven2/com/floragunn/search-guard-tlstool/1.5/ 解压unzip search-guard-tlstool-1.6.zip tlstool-1.6 TLS生成证书配置 复制&l...
Elasticsearch search-guard 插件部署
pujiaolin的专栏
09-18 8165
我之前写了ELK+shield的部署文档,由于shield是商业收费的,很多人都推崇开源项目search-guard来做ELK的安全组件,准确来说是elasticsearch的安全组件。search-guard的部署很简单,但是开始着手弄,完全不了解的情况下还是会踩一些坑,加上网上对新版本使用介绍少,所以我决定写一遍search-guard的部署文档。
Search Guard整合ES做安全验证
weixin_44094720的博客
11-26 1445
Search Guard整合ES做安全验证 概述 安装程序 安装包及版本 elasticsearch-6.6.2.tar.gz kibana-6.6.2.tar.gz logstash-6.6.2.tar.gz search-guard-6-6.6.2-25.5.zip search-guard-kibana-plugin-6-6.6.2-19.0.zip 下载地址(Search Guard & kibana plugin) https://docs.search-guard.com/latest
es基于search-guard插件实现加密认证
菜鸟运维升级之路
11-04 657
在实际生产环境中,中间件必须做到加密认证,因此本篇文章主要讲解以search-guard插件的方式实现es集群加密认证本篇文章主要以search-guard插件的方式来实现es集群的加密认证,包含了创建认证证书、创建新用户、修改密码等操作,还可以给不同的用户赋予不同的权限及设置不同的角色role,此处就不再过多讲解,后期会再新增一个基于x-pack加密认证。这两种方法就可以完全实现生产环境的应用。
search-guard
qq_18746961的博客
03-23 3523
search-guard elasticsearch
【ES实战】ES 插件包离线安装(本地文件)
coding and writing and 承接需求
03-02 1980
ES 插件的离线安装
searchguard配置
刘军的博客
09-05 1959
在es下安装 (es版本6.5.4) 下载插件 <ES directory>/bin/elasticsearch-plugin install -b com.floragunn:search-guard-6:<guard version> 进入到searchguard安装目录 cd <ES directory>/plugins/search-guard-/t...
2019年最新版elasticSearch+kibana+logstash+search guard安装教程
03-01
2019年elaticsearch6.6.0,kibana6.6.0,logstash6.6.0不再使用x-pack,替换为search guard安装教程。
elasticSearch(ES)最新版 ik分词插件7.10 elasticsearch-analysis-ik-7.10.0
11-20
elasticSearch(ES) 最新版ik分词插件7.10 elasticsearch-analysis-ik-7.10.0
elasticsearch-analysis-ik-7.10.0.zip下载
最新发布
05-08
elasticsearch-analysis-ik-7.10.0.zip下载,亲测能用
elasticsearch-analysis-ik-8.11.0
11-27
elasticsearch-8.11.0的分词器,配合es同版本使用,有粗粒度和细粒度分词
elasticsearch-repository-oss-6.7.0.zip
07-02
elasticsearch-repository-oss-6.7.0, elasticsearch-repository-oss-6.7.2从oss恢复es快照到集群插件
elasticsearch-analysis-ik-7.12.1
05-08
IK Analysis for Elasticsearch
Elasticsearch权限监控——search-guard介绍
eff666的博客
10-24 9247
1、概述 search-guardElasticsearch的一个安全权限plugin,特性包括: 权限控制粒度可以到indices,types,甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。search-guard可以实现用户访问es中日志需要登陆授权,不同用户访问不同索引,不授权的索引无法查看,分组控制不同user查看各自的业务。search-guard
ElasticSearch2.4.2安装search-guard插件
lijibo503的专栏
04-06 3804
(1)环境; elasticsearch 2.4.2(2):github上分支没有2.4.x版本的分支,笔者一度找了好久才找到下面一个版本关系对应表 elasticsearchsearch-guard以及search-guard-ssl:(3): 进入elasticsearch的bin目录,执行命令安装search-guard./plugin install -b com.floragunn/
SearchGuard配置
cjx__的博客
10-06 412
elk安全插件searchguard安装 在es下安装 (es版本6.5.4) 下载插件 <ES directory>/bin/elasticsearch-plugin install -b com.floragunn:search-guard-6:<guard version> 进入到searchguard安装目录 cd <ES directory>/...
部署 Elasticsearch 7.10
07-29
cp /software/es7.10/elasticsearch-7.10.2/elastic-certificates.p12 certs/ ``` 引用\[3\] 4. 完成配置后,可以启动Elasticsearch进程。可以使用以下命令启动进程: ``` bin/elasticsearch -d -p /tmp/elk....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值