一:集群身份认证与用户鉴权
elasticsearch默认是没有开启任何安全防范措施的,任何人只要知道了IP和端口就可以访问数据。为此,可以通过x-pack插件开启用户身份认证与鉴权功能。
1.安装x-pack
下载安装包x-pack-6.2.3.zip
elasticsearch上安装x-pack
在每个es节点上执行 bin/elasticsearch-plugin install file:x-pack-6.2.3.zip
kibana上安装x-pack
在安装kibana的机器上执行 bin/kibana-plugin install file:x-pack-6.2.3.zip
2.更改 elasticsearch 的密码
在 elasticsearch/bin/x-pack下,执行./setup-passwords interactive然后回车设置密码。
只需在一台机器上执行,其他节点只要安装了x-pack插件就可以直接加入,无需再设置密码。
3.kibana上设置es密码
打开 kibana.yml 设置:
elasticsearch.username: "*****" elasticsearch.password: "*****"
二:集群内部安全通信
es从6.8开始提供了多项安全功能。通过TLS可以加密通信,防止被抓包泄露敏感信息。
TLS:TLS协议要求Trusted Certificate Authority(CA)签发的X.509的证书
证书认证的不同级别
- Certificate:节点加入集群需要使用想用CA签发的证书
- Full Verfication:节点加入集群需要使用想用CA签发的证书,还需要验证Hostname或IP地址
- No Ver