ELK —— xpack 安全验证

最新推荐文章于 2024-04-29 23:25:26 发布
最新推荐文章于 2024-04-29 23:25:26 发布
阅读量678 收藏 1
点赞数
分类专栏: ELK 日志分析 文章标签: es elasticsearch 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47714288/article/details/118469998
版权

ELK xpack 安全验证

文章目录

参考教程

简介

  • 使用基本许可证时,默认情况下禁用 Elasticsearch 安全功能。启用 Elasticsearch 安全功能可启用基本身份验证,以便您可以使用用户名和密码身份验证运行本地集群。

  • 对于生产模式集群,最低安全方案是不够的 。如果您的集群有多个节点,您必须启用最低安全性,然后 在节点之间配置传输层安全性 (TLS)。

  • 配置传输层安全性 (TLS)。传输层处理集群中节点之间的所有内部通信。

  • 传输层依赖于双向 TLS 来加密和验证节点。正确应用 TLS 可确保恶意节点无法加入集群并与其他节点交换数据。虽然在 HTTP 层实现用户名和密码认证对于保护本地集群很有用,但节点之间的通信安全需要 TLS。

【注意】踩过的坑

1、
ES 安全 配置顺序,先启动 xpack 安全验证 与 TLS (传输层安全性),然后配置 TLS,使集群之间可以通信,接着再为内置用户配置密码(生产模式下的配置顺序)。

[注]: 如果您的集群有多个节点,那么您必须在节点之间配置 TLS。如果您不启用 TLS,生产模式(它可以通过非环回地址加入集群,则认为它处于生产模式。)集群将不会启动。
所以集群是生产模式的情况,需要添加以下两个参数,集群才可以启动。
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

2、
注意,kibana web界面登录时使用的 elastic 用户,而不是 kibana-system 用户名。权限问题,kibana-system 默认无权访问。

3、
重置用户密码时,由于启动了 xpack 安全验证,head 访问需要用户名和密码,将 http.cors.allow-headers: Authorization,X-Requested-With , Content-Length,Content-Type 加入ES 配置,url 中使用用户名和密码登录访问( http://172.25.9.2:9100/?auth_user=user&auth_password=password )。

4、
忘记用户密码需要重置,禁用 xpack 安全验证,head 删除存放密码索引(不是必须用 head ,只是个人认为这个来的快),ES集群重新设置密码 有提到。删除后,重新启用 xpack 安全验证,再重新设置密码即可。

实验

主机应用 版本
server1 (172.25.9.1)Elasticsearch (7.13.2)、Logstash (7.13.2)、Kibana (7.13.2)
server2 (172.25.9.2)Elasticsearch (7.13.2)、head (v5.0.0)
server3 (172.25.9.3)Elasticsearch (7.13.2)
# server1 :
# 配置传输层安全性 (TLS)。传输层处理集群中节点之间的所有内部通信。
## 使用该elasticsearch-certutil工具为您的集群生成 CA
cd /usr/share/elasticsearch
./bin/elasticsearch-certutil ca
## 为您的节点生成证书和私钥。--ca <ca_file>  用于签署证书的 CA 文件的名称
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

# 拷贝证书到集群中的其它节点,文件拥有者改为 elasticsearch
cp elastic-certificates.p12 /etc/elasticsearch/
chown elasticsearch /etc/elasticsearch/elastic-certificates.p12 
scp /etc/elasticsearch/elastic-certificates.p12 server2:/etc/elasticsearch/
scp /etc/elasticsearch/elastic-certificates.p12 server3:/etc/elasticsearch/

# ES 配置
vim /etc/elasticsearch/elasticsearch.yml
……
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: /etc/elasticsearch/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/elastic-certificates.p12
……
# head 访问
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type

# server2、server3:
# 文件拥有者改为 elasticsearch
chown elasticsearch /etc/elasticsearch/elastic-certificates.p12 
# ES 配置
vim /etc/elasticsearch/elasticsearch.yml
……
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: /etc/elasticsearch/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/elastic-certificates.p12

# server1、server2、server3:
# 重启 ES 服务
systemctl restart elasticsearch.service

# head 访问:
http://172.25.9.2:9100/?auth_user=elastic&auth_password=westos

# server1:
# 内置用户生成密码,自定义。(ES 自己随机定义 将 interactive ->  auto)
./bin/elasticsearch-setup-passwords interactive
# kibana 配置
vim /etc/kibana/kibana.yml
……
elasticsearch.username: "kibana_system"
elasticsearch.password: "westos"
……

# 重启
systemctl restart kibana.service

#  logstash 访问 ES:

vim /etc/logstash/conf.d/apache.conf
input {
	file {
		path => "/var/log/httpd/access_log"
		start_position => "beginning"
	}
}
filter {
	grok {
		match => { "message" => "%{HTTPD_COMBINEDLOG}" }
	}
}
output {
	stdout {}
	elasticsearch {
		hosts => ["172.25.9.1:9200"]
		index => "apachelog-%{+yyyy.MM.dd}"
		user => "elastic"
		password => "westos"
	}
}

# logstash 采集 httpd 访问成功日志。成功则 logstash 访问 ES 成功。
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/apache.conf
猫&九
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于elk安全防护_V3.ppt
04-12
elk 安全防护 流量 elasticsearch logstash kibana kafka
elasticsearch集群搭建并开启xpack密码验证【踩坑日志】
qq_40285613的博客
10-26 1349
elasticsearch集群搭建并开启xpack密码验证
elasticsearch-7.x使用xpack进行安全认证
小鲍侃java
01-22 1万+
2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。 这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana提供全面保护。 免费提供的核心安全功能如下: 1)TLS 功能。 可对通信进行加密; 2)文件和原生 Realm。 可用于创建和管理用户; 3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限; 通过针对 Kiba
Elasticsearch TLS 激活:X-Pack 安全
vvoennvv的博客
11-01 1034
重启服务后,我们进入Elasticsearch安装目录下的bin文件夹,在这里打开命令行。为此,在安装了 Elasticsearch 的电脑上,我们需要在 C:\elastic\config 目录(你安装在哪个目录)下的。现在,最后,让我们在 bin 文件夹中再次运行命令行来确定要在 HTTP 请求中使用的密码。当我们输入这个命令时,它会要求我们为我们将创建的证书命名。通过这个过程,我们现在指定我们的证书和密钥库文件以用于节点之间的数据传输。如果您的集群包含多个节点,我们需要在所有节点上执行此操作。
ES7.14,遇到No available authentication scheme的解决办法
fen_fen的专栏
09-05 4766
ES7.14,修复No available authentication scheme
Elasticsearch7.10.0添加访问密码
冰恋云的专栏
12-01 2868
1. 添加配置 elasticsearch.yml 配置 xpack.security.enabled: true xpack.license.self_generated.type: basic xpack.security.transport.ssl.enabled: true /usr/local/elasticsearch-7.10.0/bin/elasticsearch-setup-passwords interactive 设置密码 一路y 重启elasticsear...
ELK - X-Pack设置用户密码
星之空
11-16 8834
之前记录过怎样使用Nginx代理为Kibana添加登录验证功能,但其实Elastic本身也提供了基本的访问控制功能。 虽然相关功能在X-Pack里,但还是可以免费使用的。 参考官网subscriptions,可以看到在Basic License下的Security项目中包含了Role-based access control。 Enable X-Pack Security Elasticsearc...
Elasticsearch7.7设置账号密码时的逻辑矛盾问题
专注基础架构领域
10-08 3194
网上找了一些资料,包括google,但也都没有解决:比如 https://stackoverflow.com/questions/61884976/apply-security-on-elk-cluster-authentication-issue 这里说把所有的节点都加上上面的X-pack配置重启,然后使用auto进行密码设置。你去看看你们公司的REDIS服务器,看看有多少设置了密码,至少我公司不相关的部门的业务,他们的REDIS我都能远程登录(因对接关系我知道了redis服务器IP)。
Elasticsearch 配置用户名和密码
热门推荐
weixin_43315211的博客
08-16 6万+
启动 Elasticsearch 程序 [elastic@console bin]$ ./elasticsearch -d future versions of Elasticsearch will require Java 11; your Java version from [/usr/java/jdk1.8.0_181/jre] does not meet this requirem...
elasticSearch(三)window报错:org.elasticsearch.ElasticsearchSecurityException:
woyizhizaizhaoni的专栏
11-07 9022
【问题】启动elasticSearch报错:查看日志如下提示:【报错解析】:xpack.security.transport.ssl的SSL配置无效——服务器SSL配置需要密钥和证书,但这些还没有配置;
ELK打造安全数据分析平台
11-15
非常好的通过ELK实践日志分析的PPT
es6.3内置xpack破解
08-13
自己做的破解包,已成功破解,证书 可以在官网自己下载https://license.elastic.co/registration,失效时间是Platinum license will expire on July 2, 2060
dsiem:用于ELK堆栈的安全事件相关引擎
02-05
Dsiem是用于的安全事件相关引擎,允许将该平台用作专用且功能齐全的系统。 Dsiem为标准化的日志/事件提供风格的关联,对威胁情报和漏洞信息源执行查找/查询,并生成风险调整后的警报。 产品特点 以作为前端节点和...
kibana elk
06-12
用于搭建ELK
ElasticSearch面试题
最新发布
weixin_53676834的博客
04-29 1014
ElasticSearch是一个强大的分布式搜索引擎。它有个核心技术叫做倒排索引,可以帮助我们从海量数据中快速的找到所需要的内容,实现海量数据的搜素、分析和运算,响应时间通常很短。(聚合)ElasticSearch支持跨语言,它对外暴露的是Restful接口,不同的编程语言都可以通过HTTP请求与ElasticSearch进行交互。
bitbake ERROR:No space left on device or exceeds fs.inotify.max_user_watches?
qq_40734815的博客
04-25 293
bitbake ERROR:No space left on device or exceeds fs.inotify.max_user_watches? 解决方法及原因
ESLint 、 e2e test 学习
weixin_45061460的博客
04-23 1010
Lint和Format的区别:Lint只会告诉你代码中的错误或者不符合规范的地方,而Format是用来对格式作调整的。
linux常用非基础命令/操作
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-23 440
本篇用于总结蒟蒻博主在使用linux系统的过程中会经常用到但老实记不住的一些非基础命令和操作,方便遗忘时查阅。
Elasticsearch简介及安装
叶落无痕的博客
04-23 387
Elasticsearch简介及安装_elasticsearch安装-CSDN博客
openbmp elk
08-20
通过OpenBMP和ELK的联合使用,用户可以实时监控网络流量、了解各个网络设备的性能状况,同时可以进行故障排除和安全分析。通过ELK的强大搜索和过滤功能,用户可以根据各种条件来查询网络流量数据,从而更快速地找到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值