elasticsearch在默认安装后,没有提供任何安全保护。
在elasticsearch.yml配置了server.host=0.0.0.0导致公网可以访问es集群。
数据安全的基本需求:
1.身份认证,鉴定用户是否合法
2.用户鉴权,指定哪个用户可以访问哪个索引
3.传输加密
4.日志审计
解决方案:
1.设置nginx反向代理
2.x-pack
身份认证 | Authentication
1.认证体系的几种类型
- 提供用户名和密码
- 提供秘钥或 Kerberos 票据
2.在 ElasticSearch 中的认证服务被称为 Realms,提供了收费和免费两种不同形式的 Realms;
- 内置 Realms(免费):File / Native(用户名和密码保存在 ElasticSearch 的索引中);
- 外部 Realms(收费):LDAP / Active Directory / PKI / SAML / Kerberos;
3.用户鉴权 | RBAC
在 ElasticSearch 中,权限包括索引级,字段级,集群及。
Privilege 权限
Cluster Privileges 集群权限:all / monitor / manager / manage_index / manage_index_template / manage_rollup
Indices Privileges 索引权限:all / create / create_index / delete / delete_index / index / manage / read / write / view_index_metadata
开启并配置x-pack的认证与鉴权
运行启动命令 | 开启 xpack
bin/elasticsearch -E node.name=node0 -E cluster.name=test -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true
运行密码设定命令设置 ES 内置用户及其初始密码
bin/elasticsearch-setup-passwords interactive
当集群开启身份认证后配置kibana
访问集群 http://localhost:9200/_cat/nodes
输入用户名和密码就可以访问了;
Kibana Authentication | 举个栗子
设置 Kibana 的用户名及密码
修改配置文件 kibana.yml;
elasticsearch.username: "kibana"elasticsearch.password: "changeme"启动 Kibana,使用用户 elastic 登录,密码 elastic
./bin/kibana
写入信用卡信息 | 数据准备
POST orders/_bulk{"index":{}}{"product" : "1","price" : 18,"payment" : "master","card" : "9876543210123456","name" : "jack"}{"index":{}}{"product" : "2","price" : 99,"payment" : "visa","card" : "1234567890123456","name" : "bob"}在 Kibana 中 Settings / Security / Roles 中创建角色 read_orders
添加对索引 orders 的 read 权限;
Run as privileges 设置成 kibana_user;
Minimum privileges for all spaces 设置成 read;
在 Kibana 中 Settings / Security / Users 中创建用户 demo
Roles 设置成 read_orders;
退出用户 elastic
用新创建的 demo 用户登录
可以搜索索引 orders;
但是不可以删除;
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
