使用nginx的http验证功能对elasticsearch加密

最新推荐文章于 2024-05-28 08:37:26 发布
最新推荐文章于 2024-05-28 08:37:26 发布
阅读量3.4k 收藏 7
点赞数 1
分类专栏: 学习-ElasticSearch 
 
 

  
  
前言


  
  
这篇文章是https://www.elastic.co/blog/playing-http-tricks-nginx的部分翻译,对像我这样的小白学习nginx和elasticsearch有些许帮助,ps:翻译好难。。。e文好的同学还是去看原文吧。。。


  
  
正文


  
  
Elasticsearch默认是完全暴露在互联网上的RESTful服务接口。

这样做的好处是:web开发人员可以很快熟悉它的API,很容易使用curl命令或者浏览器来查询数据。也非常容易使用各种编程语言封装对应的接口。

Elasticsearch的RESTful接口是基于http开发的,所以它与现有的网络架构兼容性很好。


  
  
使用RESTful作为软件架构


  
  
现在很多软件使用RESTful服务作为基础架构,这样做的一大好处是你可以很容易插入新功能和修改已有功能。


  
  
Nginx


  
  
Nginx是一个高性能的反向代理服务。许多大型PHP项目也会使用nginx为静态文件加速。这篇文章使用基础的nginx配置为elasticsearch加上验证和授权功能。

运行Nginx为Elasticsearch做一个端口映射,我们可以非常简单的这样配置:


  
  
http {
  server {
    listen 8080;
    location / {
      proxy_pass http://localhost:9200;
    }
  }
}


  
  
当访问http://localhost:8080的时候,相当于访问http://localhost:9200
这种配置当然没什么大用,聪明的读者会发现了nginx其实已经做了些工作,比如记录了每次请求的日志。

  
  
连接持久化

  
  
使用nginx保持elasticsearch连接。这么做可以减少elasticsearch因每次请求都需要连接~断开的压力,节省资源。
更多配置请参考https://gist.github.com/karmi/b0a9b4c111ed3023a52d

  
  
events {
    worker_connections  1024;
}

http {

  upstream elasticsearch {
    server 127.0.0.1:9200;

    keepalive 15;
  }

  server {
    listen 8080;

    location / {
      proxy_pass http://elasticsearch;
      proxy_http_version 1.1;
      proxy_set_header Connection "Keep-Alive";
      proxy_set_header Proxy-Connection "Keep-Alive";
    }

  }

}


  
  
启动nginx

  
  
$ nginx -p $PWD/nginx/ -c $PWD/nginx_keep_alive.conf


  
  
没有持久化连接的时候,每次请求elasticsearch数据opened connections都会增加:

  
  
$ curl 'localhost:9200/_nodes/stats/http?pretty' | grep total_opened
# "total_opened" : 13
$ curl 'localhost:9200/_nodes/stats/http?pretty' | grep total_opened
# "total_opened" : 14
# ...


  
  
使用nginx持久化连接后,opened connections每回都一样:

  
  
$ curl 'localhost:8080/_nodes/stats/http?pretty' | grep total_opened
# "total_opened" : 15
$ curl 'localhost:9200/_nodes/stats/http?pretty' | grep total_opened
# "total_opened" : 15
# ...


  
  
简单的负载均衡

  
  
对这个配置做一个非常小的改动,我们就可以分配requests到不同的elasticsearch节点上:

  
  
events {
    worker_connections  1024;
}

http {

  upstream elasticsearch {
    server 127.0.0.1:9200;
    server 127.0.0.1:9201;
    server 127.0.0.1:9202;

    keepalive 15;
  }

  server {
    listen 8080;

    location / {
      proxy_pass http://elasticsearch;
      proxy_http_version 1.1;
      proxy_set_header Connection "Keep-Alive";
      proxy_set_header Proxy-Connection "Keep-Alive";
    }

  }

}


  
  
这里我们添加了两个节点在upstream中。Nginx会自动分配(轮询)request到不同的节点中。

  
  
$ curl localhost:8080 | grep name
# "name" : "Silver Fox",
$ curl localhost:8080 | grep name
# "name" : "G-Force",
$ curl localhost:8080 | grep name
# "name" : "Helleyes",
$ curl localhost:8080 | grep name
# "name" : "Silver Fox",
# ...


  
  
这么做可以将请求分散给所有节点,增加节点只需在upstream中增加url,然后重启nginx
关于更高级的负载均衡功能,请参考Load Balancing with NGINX and NGINX Plus
(注意,elasticsearch本身有负载均衡机制。)

  
  
基本的用户认证

  
  
默认情况下,elasticsearch不采取认证机制,因为它不是设计在开放的网络环境当中,当你打开9200端口,你的数据,集群都不是安全的。
通常保护elasticsearch集群是通过VPN,防火墙等手段限制。但是如果你希望在外网连接elasticsearch集群,就只能通过用户密码来加以认证了。
可以使用nginx来实现用户认证:

  
  
events {
  worker_connections  1024;
}

http {

  upstream elasticsearch {
    server 127.0.0.1:9200;
  }

  server {
    listen 8080;

    auth_basic "Protected Elasticsearch";
    auth_basic_user_file passwords;

    location / {
      proxy_pass http://elasticsearch;
      proxy_redirect off;
    }
  }

}


  
  
可以使用很多工具来生成密码,这里使用openssl:

  
  
$ printf "john:$(openssl passwd -crypt s3cr3t)\n" > passwords


  
  
运行nginx:

  
  
$ nginx -p $PWD/nginx/ -c $PWD/nginx_http_auth_basic.conf


  
  
普通请求会被拒绝:

  
  
$ curl -i localhost:8080
# HTTP/1.1 401 Unauthorized
# ...


  
  
输入帐号密码后,就可以建立连接了:

  
  
$ curl -i john:s3cr3t@localhost:8080
# HTTP/1.1 200 OK
# ...


  
  
现在可以关闭9200端口,只留8080端口对外开放了,想要连接集群必须得通过验证。

  
  
简单授权

  
  
如果没有授权机制,只要登录,就可以对集群中任何事情,更改或删除数据,查看内部数据,甚至关闭集群。
通过非常小的改动,我们就可以拒绝通过RESTful命令关闭集群。

  
  
location / {
  if ($request_filename ~ _shutdown) {
    return 403;
    break;
  }

  proxy_pass http://elasticsearch;
  proxy_redirect off;
}


  
  
重启nginx:

  
  
$ nginx -p $PWD/nginx/ -c $PWD/nginx_http_auth_deny_path.conf


  
  
尝试调用关闭集群,将会返回拒绝信息:

  
  
$ curl -i -X POST john:s3cr3t@localhost:8080/_cluster/nodes/_shutdown
# HTTP/1.1 403 Forbidden
# ....


  
  
也可以配置允许某些请求,拒绝其余的请求,通过两个location来实现:

  
  
events {
  worker_connections  1024;
}

http {

  upstream elasticsearch {
    server 127.0.0.1:9200;
  }

  server {
    listen 8080;

    auth_basic "Protected Elasticsearch";
    auth_basic_user_file passwords;

    location ~* ^(/_cluster|/_nodes) {
      proxy_pass http://elasticsearch;
      proxy_redirect off;
    }

    location / {
      return 403;
      break;
    }
  }

}


  
  
这样,请求/_cluster 和 /_nodes将通过,其他的会被拒绝:

  
  
$ curl -i john:s3cr3t@localhost:8080/
HTTP/1.1 403 Forbidden
# ...

$ curl -i john:s3cr3t@localhost:8080/_cluster/health
# HTTP/1.1 200 OK
# ...

$ curl -i john:s3cr3t@localhost:8080/_nodes/stats
HTTP/1.1 200 OK
# ...


  
  
选择性认证

  
  
现在我们想用基本认证保护elasticsearch但是允许ping命令发送HEAD请求到/起到监视集群状态的作用。

  
  
events {
  worker_connections  1024;
}

http {

  upstream elasticsearch {
    server 127.0.0.1:9200;
  }

  server {
    listen 8080;

    location / {
      error_page 590 = @elasticsearch;
      error_page 595 = @protected_elasticsearch;

      set $ok 0;

      if ($request_uri ~ ^/$) {
        set $ok "${ok}1";
      }

      if ($request_method = HEAD) {
        set $ok "${ok}2";
      }

      if ($ok = 012) {
        return 590;
      }

      return 595;
    }

    location @elasticsearch {
      proxy_pass http://elasticsearch;
      proxy_redirect off;
    }

    location @protected_elasticsearch {
      auth_basic           "Protected Elasticsearch";
      auth_basic_user_file passwords;

      proxy_pass http://elasticsearch;
      proxy_redirect off;
    }
  }

}


  
  
首先,我们定义两个状态代码:590-不需要验证,595-需要验证,使用nginx的location功能,两个location都指向同一个集群,但是其中一个需要认证。
然后我们设置一个变量$ok,默认值0,当进入请求是/,$ok变成01.如果请求是HEAD$ok变成012。
如果$ok是012,返回590状态码,换句话说,不需验证,其他情况返回595,需要验证。

  
  
$ curl -i -X HEAD localhost:8080
# HTTP/1.1 200 OK
# ...

$ curl -i localhost:8080
# HTTP/1.1 401 Unauthorized
# ...

$ curl -i john:s3cr3t@localhost:8080
# HTTP/1.1 200 OK
# ...


  
  
多角色授权

  
  
到这里,我们已经有了一个简单的认证机制。如果我们需要一个更宽泛的认证机制,基于角色的,不如说像下面这样的:

  
  
  • 没有认证的用户只能使用ping命令,ping指定的URL(/);
  • 认证过的user用户可以执行_search与_analyze请求;
  • 认证过的admin用户可以执行任何请求。
    我们使用不同的端口为不同的角色服务:

  
  
events {
  worker_connections  1024;
}

http {

  upstream elasticsearch {
      server 127.0.0.1:9200;
  }

  # Allow HEAD / for all
  #
  server {
      listen 8080;

      location / {
        return 401;
      }

      location = / {
        if ($request_method !~ "HEAD") {
          return 403;
          break;
        }

        proxy_pass http://elasticsearch;
        proxy_redirect off;
      }
  }

  # Allow access to /_search and /_analyze for authenticated "users"
  #
  server {
      listen 8081;

      auth_basic           "Elasticsearch Users";
      auth_basic_user_file users;

      location / {
        return 403;
      }

      location ~* ^(/_search|/_analyze) {
        proxy_pass http://elasticsearch;
        proxy_redirect off;
      }
  }

  # Allow access to anything for authenticated "admins"
  #
  server {
      listen 8082;

      auth_basic           "Elasticsearch Admins";
      auth_basic_user_file admins;

      location / {
        proxy_pass http://elasticsearch;
        proxy_redirect off;
      }
  }

}


  
  
点用openssl命令生成认证文件:

  
  
$ printf "user:$(openssl passwd -crypt user)\n"   > users
$ printf "admin:$(openssl passwd -crypt admin)\n" > admins


  
  
现在,所有用户都能ping集群,但是做不了其他操作:

  
  
$ curl -i -X HEAD localhost:8080
# HTTP/1.1 200 OK
$ curl -i -X GET localhost:8080
# HTTP/1.1 403 Forbidden


  
  
user用户可以执行search,analyze请求,其他的不可以:

  
  
$ curl -i localhost:8081/_search
# HTTP/1.1 401 Unauthorized
# ...

$ curl -i user:user@localhost:8081/_search
# HTTP/1.1 200 OK
# ...

$ curl -i user:user@localhost:8081/_analyze?text=Test
# HTTP/1.1 200 OK
# ...

$ curl -i user:user@localhost:8081/_cluster/health
# HTTP/1.1 403 Forbidden
# ...


  
  
admin用户可以做任何操作:

  
  
$ curl -i admin:admin@localhost:8082/_search
# HTTP/1.1 200 OK
# ...

$ curl -i admin:admin@localhost:8082/_cluster/health
# HTTP/1.1 200 OK
# ...


  
  
这样轻松解决了基于多角色的授权,这么做的代价是:每一种角色都使用不同的端口。

 
 


作者:zhnliving
链接:http://www.jianshu.com/p/7ec26c13abbb
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
小棉袄的秋天
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何搭建Nginx+ElasticSearch实现用户认证并允许跨域CORS调用
cjwcui的博客
03-15 3026
ElasticSearch默认没有用户认证,任何人都能访问,这样很不安全,官方的安全解决方案Xpack是收费的,如果只想实现简单的用户认证,可以选择加入Nginx实现基本的用户认证即可。同时因为前端程序需要调用ElasticSearch的REST快速查询数据,所以需要保证ElasticSearch的REST API支持跨域用户调用。ElasticSearch配置ElasticSearch设置为只...
nginx 代理 elasticsearch 帐号密码
DeveloperNotes
04-20 483
某个 elasticsearch 带认证帐号密码,需要调整代码的地方太多,因为是 Basic 认证,考虑临时做一个 nginx 转发自动把 elasticsearch 的认证信息填上,这样应用这边就能免密码访问 仅当作应急方案 apiVersion: v1 kind: ConfigMap metadata: name: nginx-conf data: nginx.conf: | user nginx; worker_processes 2; events {
nginx给kibana、elasticsearch做权限认证
We practice improving every day
09-19 489
最近一直使用logstash+elasticsearch+kibana作日志分析,通过kibana来查看报表的各种panel,但是每次查看都需要拨线上的VPN,比较麻烦,于是就想到用nginx来给kibana和elasticsearch作个权限认证。认证成功的效果如下: 呵呵,得瑟下。好了,废话不多说,直接上配置。 1、配置nginx密码:nginx可以为网站或目录甚至特定的文件设...
Nginx添加访问密码
最新发布
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
05-28 392
Nginx添加访问密码
ElasticSearch 通过nginxHTTP验证
weixin_30820077的博客
03-19 489
ElasticSearch的设置文件中如果设置了 network.host: 0.0.0.0 则表示ElasticSearch服务是公开的任何ip都可以访问ElasticSearch服务。这样肯定是不安全的。 我们可以通过安装X-Pack这个然间来做对ElasticSearch的登陆验证,但是这个是收费的只可以免费使用30天。 还有一种方法也是我们常用就是使用nginx的反向代...
nginx配置https加密访问
qq_49296785的博客
11-05 3228
环境: 1台 CentOS Linux release 7.5.1804 (Core) 关闭防火墙和selinux 开始部署: 1、安装nginx @1.1 依赖安装 yum -y install wget gcc gcc-c++ pcre-devel openssl-devel @1.2 nginx软件包下载 wget http://nginx.org/download/nginx-1.19.0.tar.gz @1.3 解压、编译、安装 [root@localhost ~]# tar x
ingress-nginx.tar.gz
03-15
- 当遇到问题时,可以查看Ingress-Nginx的日志进行诊断,这些日志通常位于Pod的容器内,或者通过Kubernetes的logging解决方案如Elasticsearch和Logstash收集。 - 此外,使用Kubernetes的`kubectl`工具可以检查...
LyonBlog:基于Java8的SSM + Elasticsearch全部检索的个人博客系统
02-02
博客文章前台展示,文章点赞,评论,收藏,支持对评论进行点赞和讨论。后台管理,支持文章的添加,修改,删除,文章和标签批量管理。个人中心,查看收藏者的文章,用户上传图片,照片墙。 2.技术栈 开发环境: ...
基于SpringCloud+ElasticSearch+Vue分布式微服务全品类购物商城设计
11-01
开发工具: Idea + WebStorm + Mysql5.6 + Redis + RabbitMQ + ElasticSearch + Nginx反向代理服务器 这是一个基于SpringCloud分布式微服务框架开发的一个购物商城网站,前端开发技术vue实现ui。项目工程量很大,...
基于SpringCloud+ElasticSearch+Vue实现的分布式微服务-全品类购物商城+源代码+文档说明+sql数据库
11-13
这个可以对接短信中心,用户登录认证采用的是JWT访问令牌,令牌的加密验证采用的非对称RSA加密算法,整个项目采用顶级域名和二级域名访问,统一到nginx服务器进行处理,一级域名直接访问静态网站前端,api打头二级...
利用nginx增强elasticseach http安全性
08-08 881
背景 最近公司安全检查,elasticsearch http端口处于开放状态,虽然在内网但依然风险很大.解决安全问题的套路基本上有两个:一个是官方的shield;还有一个是search guard.shield需要license,果断放弃.实际考察了一下search guard.东西不错但配置繁琐些,需要生产证书.而且不支持关闭node验证.公司大部分程序是java client开发的,这就
ElasticSearch未授权访问
打代码的小女孩
11-17 7152
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
nginx+kibana+es密码验证
weixin_60092693的博客
05-19 287
【代码】nginx+kibana+es密码验证
elasticsearch未授权访问漏洞怎么在日常的测试中发现
qq_42097777的博客
07-27 2324
一般测试中我们会对目标的地址进行端口扫描,如果扫描到9200端口(ElasticSearch端口(默认9200)。 我们直接访问看到是这个页面,就是存在这种漏洞:
ElasticSearch Nginx形式的访问控制
t0m的专栏
08-09 2520
前面说到使用x-pack可以实现安全访问控制,但是由于x-pack在许可更新后,free license不支持x-pack功能,所以只能另想办法。 通过百度,找到一种,可以使用nginx做一层访问的控制,简单的用户名密码的形式, htpasswd.py生成授权文件,参照:666 nginx配置: server { listen 19200; #我的放到这个
ES 彻底解决403报错
u012452555的博客
06-17 8813
elasticsearch的403问题的根本原因是磁盘空间不够 项目用到es也是没什么经验的, 除了几张表同步, 全部日志也往里面写. (平均一个索引差不多500M吧) 终于有一天, 线上同步报错403. 查了下谷歌, 说是磁盘空间不够, 我一看, 还有3g呢, 就删除了比较老的日志索引, 按照谷歌到的read_only_allow_delete设置, 暂时解决了问题. 两个月后又发生了40...
Elasticsearch Unable to parse response body HTTP/1.1 413 Request Entity Too Large问题解决
热门推荐
CodingAnHour
08-17 3万+
[ERROR] o.s.a.i.SimpleAsyncUncaughtExceptionHandler - Unexpected exception occurred invoking async method: public void org.zsdy.ext.admin.controller.EsQueryDataList.synchroniseDataAll(java.util.List,java.lang.String) org.elasticsearch.ElasticsearchStatusEx
Elasticsearch结合Nginx使用
xuguokun1986的博客
12-23 1169
Elasticsearch是一种先进的,高性能的,可扩展的开源搜索引擎,提供全文搜索和实时分析的结构化和非结构化数据。 它的特点是可以使用RESTful API over HTTP,因此很容易融入现代网络架构。    由于NGINX具有出色的性能非常高并发率,再加上负载平衡的HTTP流量功能,这是非常适合用作为您扩展到多个Elasticsearch服务器的反向代理负载均衡。   
Nginx生产环境配置elasticsearch生产环境配置、rocketmq生产环境配置 (史上最全)
架构师尼恩
04-14 1773
Nginx实现10万+并发,针对Nginx支持超高吞吐,需要优化的,主要是文件句柄数,TCP网络参数。RocketMQ生产环境配置ElasticSearch生产环境配置
nginx禁止使用DES加密算法
08-29
要禁止nginx使用DES加密算法,您可以按照以下步骤进行操作: 1. 打开nginx配置文件,通常是位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。 2. 在配置文件中找到ssl_ciphers参数,该参数用于指定支持的加密算法。 3. 修改ssl_ciphers参数的值,将其设置为不包含DES算法的安全加密算法。可以参考OpenSSL的安全建议和链接[1]中提供的最新版本来确定要使用的安全加密算法。 4. 保存并关闭配置文件。 5. 重新加载或重启nginx服务,使更改生效。 请注意,确保在修改配置文件之前备份原始配置文件,以防止意外情况发生。 另外,如果您想检查nginx当前是否使用了DES加密算法,您可以使用nmap工具来扫描服务器的SSL加密套件。通过运行以下命令可以进行扫描:nmap -sV -p 443 --script ssl-enum-ciphers <服务器IP地址> 。 这样,您就可以禁止nginx使用DES加密算法来保护您的服务器安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [nginx禁用3DES和DES弱加密算法,保证SSL证书安全](https://blog.csdn.net/Cookie_1030/article/details/125615374)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值