ElasticSearch安全加固
一、ElasticSearch未授权访问风险
1、ElasticSearch漏洞描述
默认情况下ElasticSearch如果开放了外网访问,用户是可以通过API直接操作ElasticSearch里的数据,甚至删除所有数据,这个漏洞风险极大。
可直接访问的API如下:
http://x.x.x.x:9200/_cat/indices/
http://x.x.x.x :9200/_plugin/head/
http://x.x.x.x:9200/_nodes
......
如果可以直接通过外网ip和9200端口访问到ElasticSearch获得如下信息,则说明ElasticSearch没有做安全认证,存在未授权访问的漏洞,需要做加固。
{
"name" : "Ibmm5BR",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "_azcjoJxR3Guci8DhOMhdA",
"version" : {
"number" : "6.2.4",
"build_hash" : "ccec39f",
"build_date" : "2018-04-12T20:37:28.497551Z",
"build_snapshot" : false,
"lucene_version" : "7.2.1",
"minimum_wire_compatibili