为Elastic栈配置安全 - 基础安全配置(生产环境)

最新推荐文章于 2024-06-24 14:32:47 发布
最新推荐文章于 2024-06-24 14:32:47 发布
阅读量554 收藏
点赞数
分类专栏: bigdata database 文章标签: 安全 elasticsearch 分布式
原文链接:https://www.elastic.co/guide/en/elasticsearch/reference/current/bootstrap-checks-xpack.html#bootstrap-checks-tls
版权

在最少安全配置增加密码保护之后 ,需要配置TLS. 传输层处理所有内部通讯在集群中的所有节点.

重要:如果你的集群有多个节点,一定在每个节点配置TLS,生产模式下如果没有配置TLS,集群不能启动.

传输层依赖在相互的TLS为节点间加密和认证.正确的应用TLS确保恶意节点加入集群交换数据和其它节点.当实现用户和密码认证在HTTP层,对本地集群安全是非常有用的,节点间安全通讯需要 TLS.

配置TLS在不同节点是基础的安全配置,来阻止未授权节点访问集群.

了解传输环境
传输层安全(Transport Layer Security, TLS)是一个工业标准协议,为了应用安全控制(像加密)到网络通讯. TLS是模型名,使用被称为安全套接层(Secure Sockets Layer, SSL).ES文档 使用术语 TLS和SSL一样的.

传输协议是一个协议名,ES节点使用彼此通讯.这个名字是特意给ES并且区分传输端口(默认9300)和http端口(默认9200).节点通讯使用传输端口,和REST客户端通讯使用ES使用HTTP端口.

虽然传输这个词在两种环境,它们意味着不同的事情.它它可能是应用TLS在ES传输端口和HTTP端口.我们知道这些重叠术语可能混淆,为了清楚在这个场景下,我们使用TLS 来表示ES传输端口.在[下个场景](https://www.elastic.co/guide/en/elasticsearch/reference/current/security-basic-setup-https.html),我们使用TLS给ES HTTP端口.

提前准备

完成为ES栈配置最低安全开启ES安全特性在集群内每个节点.你可以加密通讯使用TLS在不同节点间.

仅需要创建一次密码为整个集群中内置用户.

生成安全认证

当你想要时可以增加很多节点到群集中,但是他们一定可以彼此通讯.集群中节点彼此通讯是被传输模块处理.为了使你集群安全,你必须保证内部节点是加密并且可验证的,他们获得是通过TLS.

在配置安全集群,ES 节点使用证书来认证他们当和其它节点通讯时.

集群必须验证这个证书的权限.推荐方法是信任一个专门的证书授权(certifate authority, CA). 当节点被增加到你的集群,他们必须使用被相同CA签名的证书.

对于传输层,推荐使用单独的,专用的CA代替已存在的,可能共享CA,这样节点资格紧紧被控制.使用elasticsearch-certutil工具来生成CA为你的集群.

  1. 只有一个节点,使用elasticsearch-certutil工具来生成CA.
./bin/elasticsearch-certutil ca

a. 当有提示时,接受默认名(elastic-stack-ca.p12).文件中包含公共证书为你的CA和一个私有key被用在命名证书为每个节点.
b. 输入密码为你的CA.你可以选择密码为空,如果你不部署到生产环境.

  1. 在单节点上,生成证书和私有key为集群中所有节点.你包括elastic-stack-ca.p12输出文件,你生成在上步.
./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

--ca <ca_file>
CA文件名用来签名你的证书.默认文件名是来至elasticsearch-certutil工具, 是elastic-stack-ca.p12.

a. 输入CA密码为你的CA, 或点回车如果你没有在前个步骤配置.
b. 创建密码为你的证书并且接受默认名.
	输出文件名是keystore 命名elastic-certificates.p12. 这个文件包含节点证书,节点key,和CA证书.
  1. 集群中每个节点复制elastic-certificates.p12文件到$ES_PATH_CONF目录.

节点间加密通讯使用TLS

传输网络层被用来集群中节点内部通讯.当安全特性被开启,你必须使用TLS保证节点加密通讯.

现在你生成证书授权和证书,你可以更新你的集群使用这些文件.

注意: ES监控所有文件像 证书, key,和 keystore, 或是 truststore, 这些被配置做为TLS相关联的值配置.如果你更新文件中任何一个文件,像当你的hostname改变或你的证书过期,ES重新加载他们.文件被轮询因为改变在一次频率,决定通过全局ES配置resource.reload.interval.high,默认是5秒.

  1. 打开$ES_PATH_CONF/elasticsearch.yml,做如下配置.
    a. 增加cluster-name配置
cluster.name: my-cluster

b. 增加`node.name` ,默认为ES启动时的hostname.

node.name: node-1

c. 增加如下配置开启内部节点间通讯并且提供访问节点证书.

由于你使用相同`elastic-certificates.p12`文件在每个节点,设置验证模式为`certificate`

pack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

如果你使用hostname验证,设置 验证模式为full.你应用生成不同的证书为每个匹配DNS或IP 的host,查看xpack.security.transport.ssl.verification_mode参数在TLS配置.

  1. 如果你输入密码当创建节点证书,运行下边命令存储密码在ES keystore:
./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
  1. 完成上步为集群中所有节点.
  2. 集群中每个节点,重启ES.这个方法启动并关闭ES 变化依赖你怎样安装它.

下步要做什么

你已加密通讯在不同节点之间,并且可能 通过TLS启动检查.

为通过启动检查,你一定要开启HTTPS或关闭内置token服务.

大怀特
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Elasticsearch:如何创建 Elasticsearch PEM 和/或 P12 证书?
Elastic 中国社区官方博客
08-08 4392
你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署?在本文中,我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示:你可以选择其中一种方法来在你的环境中创建和使用证书。
ES开启安全认证
w2909526的博客
11-23 1164
elasticsearch开启安全认证步骤。2.根据生成的证书创建秘钥。4.启动es并创建密码。至此ES开启认证完成。
查看es p12证书文件过期方法
最新发布
u011250186的博客
06-24 436
查看es p12证书文件过期方法
es用户认证与鉴权入门配置
epitomizelu的专栏
05-29 6613
https://www.jianshu.com/p/d021661c9b6a https://blog.csdn.net/fxtxz2/article/details/105707317/ https://www.mcabana.com/archives/2107.html xpack.security.enabled: true 一,在elasticsearch.yml文件中配置 xpack.security.enabled: true xpack.security.transport.ssl.enabl
ElasticSearch 8.12.0 K8S部署实践【超详细】【一站式】
fireshark
02-23 3572
近日在k8s上部署了一个ES8.12.0的集群,在部署过程中,发现无论是官方、还是网上的文章,都没有一站式能搞定的(官网文档非常碎片化,出了问题只能去官网的问题反馈去查,网上的其他文章可能是版本的问题与最新版ES不太适配),因此把我的部署过程整理分享出来,希望能帮到需要的同学。
Elastic:为 Elasticsearch 启动 HTTPS 访问
热门推荐
Elastic 中国社区官方博客
03-23 2万+
在今天的文章中,我们来介绍如何使我们的Elasticsearch启动https服务。这个在很多的场合是非常有用的。特别是在Elastic SIEM的安全领域,我们需要把Elasticsearch的访问变为https的访问,这样使得我们的数据更加安全可靠。 安装Elastic Stack 首先,我们可以按照之前的文章“Elastic:菜鸟上手指南” 安装Elasticsearch及Kiba...
最新版windows elasticsearch-8.2.0-windows-x86_64.zip
05-06
2. 安全配置:使用X-Pack或OpenDistro for Elasticsearch安全插件,为集群添加身份验证、权限控制等功能。 3. 性能调优:根据硬件资源调整设置,如索引碎片数量、内存分配、线程池大小等。 4. 监控与报警:利用...
elasticsearch-analysis-ik-7.4.2.zip
11-21
总之,elasticsearch-analysis-ik-7.4.2.zip是一个为Elasticsearch 7.x版本提供中文分词支持的插件,它依赖于一些Apache的库,并且包含了一套完整的配置结构。通过使用这个插件,ELK用户可以更好地管理和搜索中文...
最新版linux elasticsearch-7.9.2-linux-x86_64.tar.gz
09-27
Elasticsearch 7.9.2在Linux环境中的应用涉及到多个层面,从基础的安装配置到复杂的性能调优,都需要对系统、网络和数据处理有深入理解。随着技术的发展,Elasticsearch持续提供高效、可扩展的解决方案,满足不断...
最新版linux elasticsearch-7.12.1-linux-x86_64.tar.gz
04-29
Elasticsearch是一个开源的全文搜索引擎,它基于Lucene构建,被设计为分布式、 RESTful 风格的搜索和分析引擎。在这个最新的版本"elasticsearch-7.12.1-linux-x86_64.tar.gz"中,我们关注的是在Linux环境下运行的64...
最新版windows elasticsearch-8.1.0-windows-x86_64.zip
03-10
安全方面,Elasticsearch 8.1.0可能已经内置了X-Pack插件,提供了基础安全认证、监控、警报和报告等功能。用户需要配置用户、角色和权限,以确保数据安全。 在集群扩展方面,Elasticsearch采用分片和副本的概念,...
Elasticsearch:使用 elasticsearch-keystore 配置安全并创建内置用户账号
Elastic 中国社区官方博客
01-26 1万+
...
【Docker】Docker Elasticsearch7 加装安全认证插件
Kida 的技术小屋(CSDN 版)
02-19 1662
之前文章中我们已经完成了Docker版本的Elasticsearch部署,为了增强安全性在此为Elasticsearch安装安全认证插件(2018年全球大规模的Elasticsearch攻击历历在目)。由于之前部署的Elasticsearch是Docker版本,本次也基于Docker版本进行说明。 为了简化操作步骤,这边将配合使用Docker Desktop(以下简称“DD”)来进行Docker操作(对应回脚本操作也是非常方便的,有空将重新整理出来)。首先打开DD的Dashbroad界面。在界面上选择对应的
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3607
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
Elasticsearch8.4.0集群安装(ELK安装part1)
yangkei
09-05 3110
elasticsearch8.4.0集群安装
k8s部署elasticsearch及kibana
李少侠
03-07 4065
文章目录Elasticsearch生成密码相关secretvalue.yaml部署esKibanavalue.yaml:部署kibana部署结果 elastic官方提供了efk相关charts以供我们使用k8s部署efk。 elastic charts:https://github.com/elastic/helm-charts.git 目录结构如下: $ cd helm-charts && tree -L 1 . ├── apm-server ├── elasticsearch ├── f
access denied (“java.io.FilePermission“ “/cert/elastic-certificates.p12“ “read“)
Angus
04-22 2241
我在配置跨集群数据同步时候。A集群需要从B集群同步数据,但是B集群是带有安全认证的。所以需要把B集群的证书放在A集群。 为了偷懒,我把elastic-certificates.p12 证书,放在了config目录的外边。然后就报了下边的错。一开始我以为没有读权限,所以就使用chmod 777elastic-certificates.p12 但是已经不能使用。 后台把文件挪到了config目录下,然后又修改elasticsearch.yml里边的配置路径,使用了elastic-certific...
docker-compose启动es集群 设置账号密码
雯雯的打工仔
07-28 3499
docker启动es集群设置用户名密码
ElasticSearch7.1安全配置
MicoMecy的博客
05-29 1万+
官方文档传送门 不足之处请评论指正,谢谢 摘要 从 6.8.0 和 7.1.0 版本开始,Elastic Stack安全功能免费提供。用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana 提供全面保护。 TLS 功能,可对通信进行加密 文件和原生 Realm,可用于创建和管理用户 基于角色的访问控制,可用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值