Search Guard1.0 增加用户

最新推荐文章于 2024-04-23 21:14:47 发布
最新推荐文章于 2024-04-23 21:14:47 发布
阅读量203 收藏
点赞数 1
分类专栏: Search Guard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43925043/article/details/118275660
版权

Search Guard 增加用户

https://docs.search-guard.com/latest/first-steps-user-configuration

看了官方文档,才看见有第一步,这些是配置用户、角色等配置。上面我是按照我的进度去看的,第一次,不是很准确。等这些弄完了,我在出一版实践的博客。

本文主要内容:

  • 内部用户数据库

  • sg_internal_users.yml中增加用户

  • 生成hash密码

  • 增加更多用户

  • 对于集群更新这些变化

1.内部用户数据库

Search Guard可以使用外部身份验证系统(如LDAP、OpenID、SAML或者Kerberos)来管理用户。作为替代方案,你也可以使用内部用户数据库来管理用户。

内部用户数据库是直接在Elasticsearch中保村用户及其凭证。在内部用户数据库为了管理用户,你有三个选项:

  • 1.在sg_intern_users.yml中配置用户、hash密码和后端角色,且在tools目录中使用***sgadmin***上传这个配置到你的集群(社区)
  • 2.使用intern users REST API --(企业)
  • 3.使用Kibana内部用户configuration GUI --(企业)

由于是社区环境,自己搭建的,先介绍第一种方法。

2. sg_intern_users.yml配置

在这个文件中,定义了所有的Search Guard用户,你可以找到一个例子。它所在的路径:

<ES installation directory>/plugins/search-guard-7/sgconfig/sg_internal_users.yml

2.1 用户格式

下面是用户格式

<username>:

  hash: <hashed password>

  backend_roles:

    - <rolename>

    - <rolename>

若我们想配置一个名为jode的用户,且对于一个索引拥有只读权限。

我们也想对这个用户曾加一个后端角色hr_department。在此刻,思考在不同群组中后端角色作为增加用户的一种方法。像LDAP、Active Directory组。我们在分配所有的用户到hr_department角色作为一个Search Guard角色之后使用他们。

因此在sg_internal_users.yml中基本结构如下:

jdoe:

  hash: <hashed password>

  backend_roles:

    - hr_department

3. 生成hash密码

由于我们不想在任何地方保存明文密码,在增加它到这个配置之前,用户的密码必须用户hash算法加密。

Search Guard 使用一种BCrypt hash算法加密密码,因此你可以使用 any tool that is capable of producing a BCrypt hash. 

<ES installation directory>/plugins/search-guard-7/tools/hash.sh

可以使用如下命令生成hash密码

<ES installation directory>/plugins/search-guard-7/tools/hash.sh -p <cleartext password>

生成hash密码之后,把它放到配置文件中,即sg_internal_users.yml中

jdoe:

  hash: $2y$12$AwwN1fn0HDEw/LBCwWU0y.Ys6PoKBL5pR.WTYAIV92ld7tA8kozqa

  backend_roles:

    - hr_department

Notes

因为使用BCrypt算法,你实际的hash值可能和以上文章提供的不同。

4.增加更多的用户

在提供的例子中,增加其他用户也是hr_department组的成员,另外的一个用户是devops成员。我们将在先一步操作中创建Search Guard角色给这些用户,配置如下:

jdoe:

  hash: $2y$12$AwwN1fn0HDEw/LBCwWU0y.Ys6PoKBL5pR.WTYAIV92ld7tA8kozqa

  backend_roles:

    - hr_department



psmith:

  hash: $2y$12$YOVZhJ.gbZOAoGyd9YGNMuw7rWYTfB73n8OGBLtsrihMkW5rg5D1G

  backend_roles:

    - hr_department



cmaddock:

  hash: $2y$12$3UFikPXIZLoHcsDGD0hyqOvxjytdXeRkefIF1M58jA5oueSDKthzu

  backend_roles:

    - devops

为了使用简单,对于这些用户这里的密码我们使用相同的。

5. 上传这些改变给你的集群

为了激活这个变化的配置,我们需要用户tool目录的sgadmin.sh命令,去上传配置到Search Guard配置索引。

如果你是按照本文的方法安装且启动Search Guard,你将会找到一个已经配置好所需参数的sgadmin.sh脚本在tools目录。进入此目录。

cd <ES installation directory>/plugins/search-guard-7/tools/

且执行命令

./sgadmin_demo.sh

这将会上传所有的配置到如下目录

<ES installation directory>/plugins/search-guard-7/sgconfig/

如果一切都如预期一样,你可以看见如下的输出:

Will update 'sg/config' with <ES installation directory>/plugins/search-guard-6/sgconfig/sg_config.yml 

   SUCC: Configuration for 'config' created or updated

Will update 'sg/roles' with <ES installation directory>/plugins/search-guard-6/sgconfig/sg_roles.yml 

   SUCC: Configuration for 'roles' created or updated

Will update 'sg/rolesmapping' with <ES installation directory>/plugins/search-guard-6/sgconfig/sg_roles_mapping.yml 

   SUCC: Configuration for 'rolesmapping' created or updated

Will update 'sg/internalusers' with <ES installation directory>/plugins/search-guard-6/sgconfig/sg_internal_users.yml 

   SUCC: Configuration for 'internalusers' created or updated

Will update 'sg/actiongroups' with <ES installation directory>plugins/search-guard-6/sgconfig/sg_action_groups.yml 

   SUCC: Configuration for 'actiongroups' created or updated

Done with success

这些配置改变是立即生效,不需要重启集群。

6.额外的资源

山沉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elasticsearch+logstash+kibana5.5.2集成searchguard实现用户权限管理(一)
Terraria的博客
09-13 5636
本文不讲elk的安装,只说如何在现有elk环境下添加searchguard功能。(官方文档:http://floragunncom.github.io/search-guard-docs/) 1、elasticsearch安装searchguard: 1.版本选择:https://github.com/floragunncom/search-guard/wiki 官网给出了对应地址,按
ElasticSearch7.10配置Search-Guard之配置用户
Choleen的博客
01-17 513
安装search guard之后,配置sg_internal_user.yml和sg_roles.yml等,然后测试用户权限
kibana的search-guard配置
lijibo503的专栏
04-08 5212
此文章解决ElasticSearch2.4.2(http://blog.csdn.net/lijibo503/article/details/69396860)安装search-guard插件中遗留的问题elasticsearch安装searchguard以后,会发现kibana不能连上elasticsearch了,这个问题怎么解决呢解决方案: (1):编辑kibana.yml文件 添加如下配置
Wireguard使用注册方法
最新发布
2301_79321458的博客
04-23 322
c.输入"运用程序+register "(出现Successfully created cloudflare warp account时表示成功)3.返回下载的Windows目录修改一下刚刚注册的文件,修改完后保存退出。4.输入命令"运行程序+update ",然后再生成配置文件。2.下载后打开CMD,要用管理员权限打开。-b.cd windows下载目录。-a.打开自己所下载的软件的目录。5.修改配置文件中的ip地址和端口。6.下载Wireguard。(下载地址其他博主的)-b.修改为优选IP。
Elasticsearch权限监控——search-guard介绍
eff666的博客
10-24 9278
1、概述 search-guard是Elasticsearch的一个安全权限plugin,特性包括: 权限控制粒度可以到indices,types,甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。search-guard可以实现用户访问es中日志需要登陆授权,不同用户访问不同索引,不授权的索引无法查看,分组控制不同user查看各自的业务。search-guard
SearchGuard做elasticsearch的登录认证
envinfo2012的博客
08-04 9830
一、关于elasticsearch的登录认证 elasticsearch由于自身没有做登录验证,所以会出现安全问题。Elasticsearch 数据安全可能存在的风险点:  - 在公网暴露集群TCP 端口或者 HTTP 端口。  - Elasticsearch 集群节点之间通信是明文的,可以被窃取或者篡改。  - 没有细粒度控制索引的操作权限  - 非必要情况下关闭HTTP端口(只保
Search Guard整合ES做安全验证
weixin_44094720的博客
11-26 1469
Search Guard整合ES做安全验证 概述 安装程序 安装包及版本 elasticsearch-6.6.2.tar.gz kibana-6.6.2.tar.gz logstash-6.6.2.tar.gz search-guard-6-6.6.2-25.5.zip search-guard-kibana-plugin-6-6.6.2-19.0.zip 下载地址(Search Guard & kibana plugin) https://docs.search-guard.com/latest
elasticsearchsearch guard的安装
双鱼座的蔚的博客
06-13 2417
search guard的安装配置清单:elasticsearch-5.6.4.tar.gzsearch-guard-5-5.6.4-18.zipsearch-guard-ssl-5.6.0.zipsearch-guard-tlstool-1.1.tar.gz一:elasticsearch集群正常配置(略)二:安装search guard插件三:生成证书文件1.下载search guard 源码工...
使用开源权限控制组件search-guard来操作Elasticsearch
争当鲲鹏飞万里 不做燕雀恋子巢
03-26 2896
一、集群级别权限 1、原来自定义角色sg_zyl_role,只有对所有索引有all操作权限,对集群级别权限没有 # zyl脚本可以监控集群,只能对customer索引有操作权限 sg_zyl_role: indices: '*': '*': - '*' 2、建立zyl用户,并将zyl用户赋予sg_zyl_role角色,使用zyl用户去查询集群节点列表...
使用search guard解决Elasticsearch未授权访问问题
u013905744的专栏
09-11 2756
背景: 线上es集群,版本6.2.4,尽管其在内网,但安全扫描之后发现其存在Elasticseach未授权访问问题,需要进行http basic认证 方案: elasticsearch-http-basic plugin仅支持es 1.x版本,且近3年未更新。目前我们线上使用的是6.x版本,此插件不能支持。 方案1是使用search guard插件,使用其社区版本,使用其提供的基础http basic认证功能,其本质就是es cluster前置search guard filter。 方案2是es
elasticsearch安装与使用(5)-- search guard安装与配置
weixin_33890499的博客
02-08 284
一、安装search guard插件必须要安装两部分: ①search-guard-xx ②search-guard-ssl (XX指的是与elasticsearch引擎对应的版本) github地址: https://github.com/floragunncom/search-guard 这里以elasticsearch 2.3.5版本为例 进入到elasticsearc...
search guard权限详解
sloanZ的博客
08-07 3862
1.权限定义 2.权限配置 3.权限映射
Elasticsearch 免费认证插件Search-guard的部署安装及策略配置
很多时候,你缺少的不是知识而是热情
09-14 1万+
背景: 当前es正在被各大互联网公司大量的使用,但目前安全方面还没有一个很成熟的方案,大部门都没有做安全认证或基于自身场景自己开发,没有一个好的开源方案 es官方推出了shield认证,试用了一番,很是方便,功能强大,文档也较全面,但最大的问题是收费的,我相信中国很多公司都不愿去花钱使用,所以随后在github 中找到了search-guard项目,接下来我们一起来了解并部署此项目到我们
ElasticSearch添加用户名及密码
zhiwenganyong的博客
07-25 7240
ElasticSearch添加用户名及密码
Open Distro for elasticsearch修改默认admin密码
w_j_y_的博客
08-07 1049
Open Distro for elasticsearch修改默认admin密码 docker安装运行方式修改默认admin密码 1. 进入启动后es的docker容器中操作: docker exec -it 容器ID /bin/bash chmod +x /usr/share/elasticsearch/plugins/opendistro_security/tools/hash.sh 需要给与操作权限 2. 执行命令修改admin密码 /bin/bash -c /usr/share/elasticse
WireGuard基本原理
热门推荐
曹世宏的博客
11-13 2万+
WireGuard:下一代内核网络隧道 摘要: WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控
tzq_Engineer的博客
02-25 1198
ElasticSearchTransportClient集成SearchGuard插件实现索引级别的权限管控 由于官方的X-pack收费,所以退而求其次选择了SearchGuard作为ElasticSearch集群的安全权限管控组件。如果已经按照官网标准为ElasticSearch每个节点都安装好了SearchGuard插件 集群环境: 三台ElasticSearch节点版本5.4.3; ...
search guard 默认密码更改
sinat_39562444的博客
05-28 1383
search guard 配置文件介绍 search-guard中的用户权限管理 相关配置文件的介绍 searchguard 主要有5个配置文件在plugins/search-guard-2/sgconfig 下: 1、sg_config.yml:主配置文件不需要做改动。 2、sg_internal_users.yml:本地用户文件,定义用户密码以及对应的权限。 3、sg_roles.yml:权限...
linux使用创建es用户,linux用户权限设置(安装elasticsearch7.x)
weixin_33605464的博客
04-28 2451
前言今天下载了elasticsearch的7.x版本,使用bin/elasticsearch -d 启动后,报出如下错误:java.lang.RuntimeException: can not run elasticsearch as rootat org.elasticsearch.bootstrap.Bootstrap.initializeNatives(Bootstrap.java:105)...
ElasticSearch7.2.1+SearchGuard+Kerberos集群测试环境搭建指南
Kibana作为Elasticsearch的数据可视化工具,与SearchGuard和Kerberos协同工作,允许用户在安全的环境中浏览和分析数据。为了在Kibana中实现安全登录,需要配置Kibana以连接到SearchGuard,通常这涉及到修改Kibana的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值