elk权限控制_7. ELK安全配置(上)

最新推荐文章于 2024-01-02 14:38:06 发布
最新推荐文章于 2024-01-02 14:38:06 发布
阅读量819 收藏
点赞数
文章标签: elk权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33347102/article/details/112026077
版权

> ##### [感谢江榕分享](https://www.tuicool.com/articles/6fyU7bU)

> ##### [感谢chenzanlong123](http://blog.csdn.net/chenzanlong123/article/details/11784143 "关于truststore和kenstore的区别") 关于truststore和kenstore的区别

### Search Guard基础知识

SearchGuard®是Elasticsearch的开源安全套件,提供加密,身份验证,授权,审计日志记录和多租户的整个ELK堆栈。开源版本核心功能:

- 节点之间的RPC流量通过 SSL/TLS 传输(强制性);

- 索引级别访问控制(重点!);

- 权限配置基本与shield保持一致;

- 支持restful接口流量加密(可选);

#### 个人理解

- Search Guard会将ES包裹起来,其他程序连接ES时,实际是Search Guard在做验证和权限控制。

- ES的Master/Node节点间的SSL/TLS通讯加密必须配置,但客户端(Kibana、Logstash、ES-Head等)访问ES的HTTPS可不配置

- 证书的生成需要使用 Search Guard SSL程序包,需要单独下载,但该程序无需放在ES的服务器中执行,只使用生成后的证书

- keystore可以看成一个放key的库,key就是公钥,私钥,数字签名等组成的一个信息。truststore和keystore的性质是一样的,都是存放key的一个仓库,区别在于,truststore里存放的是只包含公钥的数字证书,代表了可以信任的证书,而keystore是包含私钥的

- Search Guard有Demo脚本,为了更好的理解原理,不要使用

##### Search Guard部署过程

- 第一阶段:实现访问ES需要用户名密码

- 第二节点:Kibana实现用户名密码登录

##### 涉及插件

>[GitHub链接](https://github.com/floragunncom "github链接")

- search-guard-ssl(生成证书程序)

- search-guard(ES插件)

- search-guard-kibana-plugin(Kibana插件)

### 部署Search Guard SSL(任意机器)

仅生成证书,无需部署在生产节点,生成后部署到对应节点即可,该文件需备份!

不推荐使用样例脚本

> [具体版本对照](https://github.com/floragunncom/search-guard-ssl/wiki "版本对照")

脚本依赖openssl 和 keytool

```shell

git clone https://github.com/floragunncom/search-guard-ssl.git

cd search-guard-ssl/example-pki-scripts

```

#### 证书生成重要概念

因为我们要使用到生产环境,所以我们需要自定义创建证书

- ##### gen_client_node_cert.sh(生成admin-keystore.jks)

生成客户端和管理员证书,包含客户端证书的密钥库。此证书被配置为管理员证书,名字可以使用sgadmin/admin/ding均可,但名称要与ES中配置的前缀保持一致(下文中会提到),否则ES启动时,会报Search Guard密码错误

- ##### gen_node_cert.sh(生成 node-0-keystore.jks)

生成ES节点间通讯的证书,密钥库包含节点证书和中间证书。这些密钥库可以在所有Elasticsearch节点上使用。

- ##### gen_root_ca.sh(生成truststore.jks)

包含用于签署所有其他证书的根CA的信任库

##### 修改配置

```shell

example-pki-scripts/etc/root-ca.conf

example-pki-scripts/etc/signing-ca.conf

```

脚本会根据这两个配置生成证书,需要修改如下内容,暂时还不太理解作用,我并没有修改

```shell

[ ca_dn ]

0.domainComponent = "com"

1.domainComponent = "example"

organizationName = "Example Com Inc."

organizationalUnitName = "Example Com Inc. Root CA"

commonName = "Example Com Inc. Root CA"

```

#### 生成证书

##### 生成强密码

```shell

根CA密码:NhRxQ3dC3rJZuQFa

truststore密码:siCPVLDYN2BwuYKo

keystore密码:CNByuENniEtkHRfs

```

##### 生成truststore证书

```shell

#./gen_root_ca.sh capassword_use_a_strong_one truststorepassword

./gen_root_ca.sh NhRxQ3dC3rJZuQFa siCPVLDYN2BwuYKo

```

##### 生成ES节点通讯证书

> ##### 留下问题?是所有ES用一个,每个ES都用不同的证书

```shell

./gen_node_cert.sh nodenum keystorepassword capassword_use_a_strong_one

./gen_node_cert.sh 0 CNByuENniEtkHRfs NhRxQ3dC3rJZuQFa

```

##### 生成客户端(管理员)证书

```shell

./gen_client_node_cert.sh clientname keystorepassword capassword_use_a_strong_one

./gen_client_node_cert.sh admin CNByuENniEtkHRfs NhRxQ3dC3rJZuQFa

```

##### 生成的文件

```shell

#ll /opt/search-guard-ssl/example-pki-scripts/*.jks

-rw-r--r-- 1 root root 4164 Nov 10 16:38 admin-keystore.jks

-rw-r--r-- 1 root root 4233 Nov 10 16:38 node-0-keystore.jks

-rw-r--r-- 1 root root 956 Nov 10 16:37 truststore.jks

```

#### 分发证书

node和truststore证书分发到所有ES的/etc/elasticsearch/目录下

admin证书,放到管理机上,Search Guard会在Elasticsearch中建立searchguard的索引分片,内部存储的就是用户和权限的信息,这些信息只能通过sgadmin.sh脚本进行更新,Search Guard中的逻辑用户,是不具备查看权限的。具体请看下文

##### 注意备份整个目录,后期可能还会生成证书

### 所有ES节点安装Search Guard

#### 在线安装

>##### [版本对应关系](https://github.com/floragunncom/search-guard/wiki "版本对应关系")

```shell

cd /usr/share/elasticsearch/bin

./elasticsearch-plugin install com.floragunn:search-guard-5:5.6.4-16

```

search-guard-5:search-guard的版本

5.6.4-16:当前Elasticsearch对应的search-guard版本

#### 离线安装(推荐)

> ##### [zip包下载地址](http://search.maven.org/#search%7Cgav%7C1%7Cg%3A%22com.floragunn%22%20AND%20a%3A%22search-guard-5%22 "下载地址")

```shell

./elasticsearch-plugin install -b file:///tmp/search-guard-5-5.6.4-16.zip

```

#### 增加ES配置(所有ES)

配置结尾增加

```shell

searchguard.ssl.transport.keystore_filepath: node-0-keystore.jks

searchguard.ssl.transport.keystore_password: CNByuENniEtkHRfs

searchguard.ssl.transport.truststore_filepath: truststore.jks

searchguard.ssl.transport.truststore_password: siCPVLDYN2BwuYKo

#enforce_hostname_verification为不强制验证主机名

searchguard.ssl.transport.enforce_hostname_verification: false

#注意CN=admin,必须和admin-keystore.jks中的admin相同

searchguard.authcz.admin_dn:

- CN=admin,OU=client,O=client,L=Test, C=DE

```

重启ES服务器,如未设置,将无法加入到集群,建议所有ES全部停止后统一配置,避免脑裂

### 生成searchguard索引分片

> ##### [sgadmin相关参数](http://floragunncom.github.io/search-guard-docs/sgadmin.html "1")

```shell

sh /usr/share/elasticsearch/plugins/search-guard-5/tools/sgadmin.sh -h 192.168.0.230 -p 9300 -tspass siCPVLDYN2BwuYKo -kspass CNByuENniEtkHRfs -cd /usr/share/elasticsearch/plugins/search-guard-5/sgconfig -ks /etc/elasticsearch/admin-keystore.jks -ts /etc/elasticsearch/truststore.jks -nhnv -cn es-cluster

```

- 默认要求ES集群状态至少要为YELLOW,可以使用-arc,–accept-red-cluster跳过

- 早期版本的Search guard是允许使用node证书的,但是新版本已经禁止了,这里的ks需要指定为管理用户的证书(admin-keystore.jks)

- es-cluster为集群名称

- -nhnv 禁用主机名称验证,不要验证主机名

```shell

###################################

Contacting elasticsearch cluster 'es-cluster' and wait for YELLOW clusterstate ...

Clustername: es-cluster

Clusterstate: YELLOW

Number of nodes: 1

Number of data nodes: 1

searchguard index already exists, so we do not need to create one.

Populate config from /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/

Will update 'config' with /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/sg_config.yml

SUCC: Configuration for 'config' created or updated

Will update 'roles' with /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/sg_roles.yml

SUCC: Configuration for 'roles' created or updated

Will update 'rolesmapping' with /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/sg_roles_mapping.yml

SUCC: Configuration for 'rolesmapping' created or updated

Will update 'internalusers' with /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/sg_internal_users.yml

SUCC: Configuration for 'internalusers' created or updated

Will update 'actiongroups' with /usr/share/elasticsearch/plugins/search-guard-5/sgconfig/sg_action_groups.yml

SUCC: Configuration for 'actiongroups' created or updated

Done with success

```

SUCC代表更新成功

#### 截至目前,ES各个节点间通讯已经加密;Search Guard已经开始守护ES集群了。但由于Search Guard默认设置了一些用户,都是弱口令用户,下一步,我们要进行权限设置以及客户端(Logstash、Kibana、Head)的访问设置

薇葭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VSS权限管理
张晨光老师的播客
10-21 674
VSS权限管理 安装好了软件后,下一步就是对于软件的详细设置了,一般像项目管理软件都是需要设置权限的,防止用户删库跑路。 image.png 在VSSA里新建用户时可以看到有一个Read only的选择框,这个则是对用户的权限设置,设置该用户的权限为只读。但是这是针对整个项目的,而我们一般的权限都是针对目录的,网上也有解决方式,就是将项目拆成几个子项目,我jio的不奶思,还是找一下怎么进行更详细的权限管理。 服务端操作 设置用户权限之前,你先必须激活项目安全机制。 打开VSSA的Tools菜
ELK日志分析系统通过shield实现权限管理
玻璃心的专栏
09-29 2738
网上很少有关于这方面的讲解或者是老版本的,不适合,自己摸索参照英文文档,实验成功的,写下来给大家分享。 不懂得可以一起讨论啊,下面评论就好了; 这里说的ELK日志是单机的,集群的一样配置,只是修改一下网络配置即可;实现的协议是HTTP; 1、版本 Elasticsearch :2.4.0 Logstash:2.4.0 Kibana:4.6.0 Shield:
Elk开通权限
大唐响马的博客
03-28 455
版本信息 elasticsearch-7.15.1 kibana-7.15.1-windows-x86_64 win10单机部署单节点es测试 配置信息 es配置:这里要用内网地址 network.host: 192.168.1.1 http.port: 9200 discovery.seed_hosts: ["192.168.1.1"] cluster.initial_master_nodes: ["node-1", "node-2"] #启用密码 xpack.security.enabled: true
elk权限控制_ELK学习笔记之Kibana权限控制和集群监控
weixin_32479897的博客
12-29 197
HTML5本地存储Localstorage什么是localstorage 前几天在老项目中发现有对cookie的操作觉得很奇怪,咨询下来是要缓存一些信息,以避免在URL上面传递参数,但没有考虑过cookie会带来什么问题: ① cookie大 ...面向对象——is和as运算符、泛型集合 List<T>二:is和as运算符: (1) ...
ELK用户管理
蜷缩的蜗牛
12-08 3235
1、x-pack 添加用户# cd /data/PRG/elasticsearch # bin/x-pack/users useradd admin -p kbsonlong -r superuser 2、查看用户 [root@kbsonlong elasticsearch]# bin/x-pack/users list kbson : monitoring_user a
elk_64.zip
03-16
- **安全设置**:考虑安全配置,如添加Elasticsearch的用户权限,限制外网访问等。 - **数据持久化**:配置Elasticsearch的数据存储路径,确保数据不会因服务重启而丢失。 - **监控与维护**:定期检查ELK组件的日志...
最新版linux kibana-7.17.0-linux-x86_64.tar.gz
02-07
10. **多租户支持**:Kibana支持多用户的使用,7.17.0版本可能优化了用户管理和权限控制,以适应更大规模的团队协作。 在解压"最新版linux kibana-7.17.0-linux-x86_64.tar.gz"后,你会得到名为"kibana-7.17.0-...
elasticsearch-7.4.2-linux-x86_64.tar.gz.zip
02-25
5. 初始化权限:确保Elasticsearch的数据目录拥有正确的权限,通常设置为elasticsearch用户或运行Elasticsearch的用户。 6. 启动服务:通过`./bin/elasticsearch`命令启动Elasticsearch服务。 Elasticsearch的数据...
最新版windows elasticsearch-8.2.0-windows-x86_64.zip
05-06
2. 安全配置:使用X-Pack或OpenDistro for Elasticsearch安全插件,为集群添加身份验证、权限控制等功能。 3. 性能调优:根据硬件资源调整设置,如索引碎片数量、内存分配、线程池大小等。 4. 监控与报警:利用...
kibana-6.7.1-linux-x86_64.tar.gz
04-25
通过设置角色和权限,可以控制用户对数据的访问和操作。 性能优化: 1. 调整内存限制:“kibana.process.memory.max_bytes”参数可用于设置Kibana的最大内存使用量。 2. 使用Kibana的缓存功能,加速数据加载和查询...
ELK 系列十一、elk权限说明和设置
wuwei的博客
05-31 4495
权限设置可以通过命令,也可以通过kibana控制台,这边主要是讲控制台,注意,需要先开通x-pack 权限设置的方式也很容易理解,先建好角色,给角色赋权限,然后把角色分配给具体的用户,这样用户就具备权限了 目录 1.角色权限设置 2.角色权限参数说明 2.1内置角色 2.2 Cluster privileges 2.3. 索引权限 1.角色权限设置 比如我要建一个只限于test索...
shield实现ELK权限管理问题讲解
玻璃心的专栏
10-09 1386
在使用单机上,按我上篇博客讲解的,完全可以实现,但是我在实现集群,什么样的集群呢?我首先说一下,我的集群环境。 集群的使用的ELK的版本: logstash.2.4.0 elasticsearch.2.4.0 kibana.4.6.0 shield.2.4.0 下面说一下我怎么样搭建的使用ELK的,logstash是单独的布置在要监控的主机上的,Elasticsearch和kibana是
ELK在linux上创建具有管理员操作权限的账户
点火三周的专栏
12-21 3239
这个操作貌似在生产上是违规的。。。 但如果你没有root权限,我也想不出来为什么在安装ELK的时候需要创建什么elasticsearch,logstash,kibana的用户和用户组。。。因为即便你把所有的应用文件和目录都设置成对应的用户和用户组,但如果你对配置文件进行了修改,无论如何是需要重启服务的(当然,大部分的elasticsearch配置是可以在线修改的,logstash是可以做confi
一文吃透企业级elk技术栈:8. 用户权限控制
hh的博客
11-27 461
打开 Stack Management —> 角色 —> 创建角色 —> 角色名称(test) —> 索引(mysql-slow-*) —> 权限(read) —> 创建角色。打开 Stack Management —> 用户 —> 创建用户 用户名 密码 角色(选择 test , kibana_user 两项) —> 创建用户。
ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决
asdfgh0077的博客
11-07 239
ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决
Elasticsearch8节点加入集群失败解决方法
最新发布
weixin_42264524的博客
01-02 1657
Elasticsearch节点加入集群失败解决方法,failed to join
ELK常见故障处理系列-1】ES索引读写权限问题 blocked by: [FORBIDDEN/8/index write (api)]
fairytalefu的博客
08-19 1272
突然发现一个索引的数据从某个时间段开始急剧下降,ES索引突然写不进去 blocked by: [FORBIDDEN/8/index write (api)],并没有恢复的迹象。
ELK之安装searchguard后默认管理员用户admin修改
abtmh02622的专栏
04-09 679
  安装完elasticsearch之后会有一个默认的用户admin密码也为admin,该用户无法删除无法编辑修改密码,用于生产时安全性较差,需要修改默认密码或者删除该admin用户   使用工具生产加密密码 /usr/share/elasticsearch/plugins/search-guard-6/tools chmod +x hash.sh ./hash.sh...
ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决...
weixin_34008805的博客
04-29 418
0. 背景 我们在使用ELK进行日志记录的时候,通过网址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志, 但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全,我们应该设置相应的用户名和密码, 只有通过登录用户名和密码才能通过Kibana查看我们的日志。 1. 在elasticsearch 2.x的版本是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值