ES(Elasticsearch)8.x 以上启用自动安全配置,手动安全配置

已于 2023-10-19 17:32:11 修改
阅读量1.4k 收藏 2
点赞数 3
文章标签: elasticsearch jenkins 大数据 java
于 2023-10-19 17:31:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42209682/article/details/133930839
版权

ES 8.x 以后,默认启用了自动安全配置,即 $ES_PATH_CONF/elasticsearch.yml 中默认的 xpack.security.enabled: false 变成了默认的 xpack.security.enabled: true,启用elasticsearch 的安全配置。

自动安全配置

自动进行以下安全配置:

  1. 为传输层和 HTTP 层生成 TLS 证书和密钥。

  2. TLS 配置设置写入elasticsearch.yml

  3. elastic 用户生成密码。

  4. 为 Kibana 生成注册令牌。

NOTE: 仅在安装后第一次启动时会启用自动安全配置,且配置文件中与安全配置相关的默认值没有被更改过。

还有一些小细节需要注意,elastic 超级用户的密码,ca指纹,kibana注册令牌会在第一次启动时输出到控制台,请记录下该信息。而且,不能将该信息输出到文件中,切记,如果输出地址为文件,那么ES基于安全考虑,将隐藏掉 elastic 密码,ca指纹,kibana注册令牌。

打开一个新终端并验证您是否可以通过进行经过身份验证的调用来连接到 Elasticsearch 集群。 出现提示时输入 elastic 用户的密码:

curl --cacert config/certs/http_ca.crt -u elastic https://localhost:9200

最后启动kibana输入注册令牌,使用超级用户登录就可以了

手动安全配置

如果您正在运行禁用安全性的现有 Elasticsearch 集群,则可以手动启用 Elasticsearch 安全功能,然后为内置用户创建密码。 您可以稍后添加更多用户,但使用内置用户可以简化为集群启用安全性的过程。

IMPORTANT

对于生产模式集群来说,最低安全场景是不够的。 如果您的集群有多个节点,则必须启用最低安全性,然后在节点之间配置传输层安全性 (TLS)。

启用 Elasticsearch 安全功能

启用 Elasticsearch 安全功能可提供基本身份验证,以便您可以通过用户名和密码身份验证运行本地集群。

  1. 在集群中的每个节点上,停止 Kibana 和 Elasticsearch(如果它们正在运行)。

  2. 在集群中的每个节点上,将 xpack.security.enabled 设置添加到 $ES_PATH_CONF/elasticsearch.yml 文件并将值设置为 true

    xpack.security.enabled: true

    NOTE

    $ES_PATH_CONF 变量是 Elasticsearch 配置文件的路径。 如果您使用存档发行版(zip 或 tar.gz)安装 Elasticsearch,则该变量默认为 $ES_HOME/config。 如果您使用软件包发行版(Debian 或 RPM),则该变量默认为 /etc/elasticsearch

  3. 如果您的集群有单节点,请在 $ES_PATH_CONF/elasticsearch.yml 文件中添加 discovery.type 设置,并将值设置为 single-node。 此设置可确保您的节点不会无意中连接到可能在您的网络上运行的其他集群。

    discovery.type: single-node

为内置用户设置密码

要与集群通信,您必须为 elastickibana_system 内置用户配置密码。 除非您启用匿名访问(不推荐),否则所有不包含凭据的请求都会被拒绝。

NOTE

当启用最低或基本安全时,您只需要为 elastickibana_system 用户设置密码。

  1. 在集群中的每个节点上启动 Elasticsearch。 例如,如果您使用 .tar.gz 包安装 Elasticsearch,请从 ES_HOME 目录运行以下命令:

    ./bin/elasticsearch

  2. 在集群中的任何节点上,打开另一个终端窗口,并通过运行 elasticsearch-reset-password 实用程序为 elastic 内置用户设置密码。 此命令将密码重置为自动生成的值。

    ./bin/elasticsearch-reset-password -u elastic

    如果要将密码设置为特定值,请使用交互式 (-i) 参数运行该命令。

    ./bin/elasticsearch-reset-password -i -u elastic

  3. 设置 kibana_system 内置用户的密码。

    ./bin/elasticsearch-reset-password -u kibana_system

  4. 保存新密码。 在下一步中,您将 kibana_system 用户的密码添加到 Kibana。

Next: 配置 Kibana 使用密码连接 Elasticsearch

配置 Kibana 使用密码连接到 Elasticsearch

启用Elasticsearch安全功能后,用户必须使用有效的用户名和密码登录Kibana。

您将配置 Kibana 以使用内置的 kibana_system 用户和您之前创建的密码。 Kibana 执行一些需要使用 kibana_system 用户的后台任务。

该帐户不适用于个人用户,并且无权从浏览器登录 Kibana。 相反,您将以 elastic 超级用户身份登录 Kibana。

  1. elasticsearch.username 设置添加到 KIB_PATH_CONF/kibana.yml 文件中,并将值设置为 kibana_system 用户:

    elasticsearch.username: "kibana_system"

    NOTE

    KIB_PATH_CONF 变量是 Kibana 配置文件的路径。 如果您使用存档发行版(ziptar.gz)安装 Kibana,则该变量默认为 KIB_HOME/config。 如果您使用软件包发行版(Debian 或 RPM),则该变量默认为 /etc/kibana

  2. 从安装 Kibana 的目录中,运行以下命令来创建 Kibana 密钥库并添加安全设置:

    1. 创建 Kibana 密钥库:

      ./bin/kibana-keystore create

    2. kibana_system 用户的密码添加到 Kibana 密钥库:

      ./bin/kibana-keystore add elasticsearch.password

      出现提示时,输入 kibana_system 用户的密码。

    3. 重新启动 Kibana。 例如,如果您使用 .tar.gz 包安装 Kibana,请从 Kibana 目录运行以下命令:

      ./bin/kibana

    4. elastic 用户登录 Kibana。 使用此超级用户帐户来管理空间、创建新用户和分配角色。 如果您在本地运行 Kibana,请访问 http://localhost:5601 查看登录页面。

龙腾麟
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch 7.0 7.x版本安装(head+ik+配置).zip
05-28
该文档主要是elasticsearch7.x版本的安装及集群配置,配合head,ik插件的安装。【备注,配置参数更新如下: cluster.name: es-7 node.name: t-1 network.host: 10.96.141.45 http.port: 9200 transport.tcp.port: 9301 node.master: true node.data: true bootstrap.memory_lock: true discovery.seed_hosts: ["10.xx.xx.104:9300","10.xx.xx.45:9300","10.xx.xx.45:9301"] discovery.zen.minimum_master_nodes: 2 bootstrap.system_call_filter: false cluster.initial_master_nodes: ["10.xx.xx104","10.xx.xx.45"] #外网访问 http.cors.enabled: true http.cors.allow-origin: "*" 】
es6.3内置xpack破解
08-13
自己做的破解包,已成功破解,证书 可以在官网自己下载https://license.elastic.co/registration,失效时间是Platinum license will expire on July 2, 2060
Elasticsearch8.x踩坑合集
7me
05-07 1693
received plaintext http traffic on an https channel, closing connection 原因:是因为ES8.x默认开启了 ssl 认证。 解决: 修改config/elasticsearch.yml配置文件 xpack.security.enabled: false 修改启动内存 当你的内存不够时,启动ES顶不住而崩溃 为了避免惨剧发生 解决:修改confg/jvm.options配置文件 生活就像一盒巧克力,你永远不知道下一块会是什么味道
ELK使用总结:es配置X-PACK验证
运维呆子 的博客
02-18 3815
elasticsearch x-pack验证模块部署 这个文章的缘由: 开发的童鞋一直想在es上加一道验证,但是之前的es集群都没有对这个进行部署,被找了几次,还是给弄了个,但是有点坑啊,看官方说明,这个没有lisence 就只能免费用一个月,先用着吧,部署过程和参考文档如下,无坑详细教学,都是本人实际详细操作: 官方安装文档:https://www.elastic.co/guide/en/e...
Windows安装Elasticsearch8.x保姆级教程
最新发布
热爱编程的你我
03-14 1580
Windows安装Elasticsearch8,x保姆级教程
Elasticsearch Kibana SSL认证
还是小朋友的博客
10-20 988
openssl pkcs12 -in elastic-certificates.p12 -cacerts -nokeys -chain > client-ca.cer #签署公共证书的CA。openssl pkcs12 -in elastic-certificates.p12 -clcerts -nokeys > client.cer #公共证书。输入文件名 默认[elastic-stack-ca.p12]回车,输入密码回车。4、重启kibana。
ElasticSearchES8新特性及集群安装
scorpio的博客
09-18 8607
ElasticSearchES8新特性及集群安装
windows平台elasticsearch8.9配置文件,无密码
Xeon_CC的博客
08-02 293
【代码】windows平台elasticsearch8.9配置文件,无密码
龙叔学ESElasticsearch XPACK安全认证
热门推荐
龙叔运维的博客
03-26 1万+
ElasticSearchde Xpack安全认证介绍
Elasticsearch8版本安装详解,单节点部署、多节点部署、冷热温集群部署、IK分词器安装、简单生产安全模式配置
timber wolf
05-30 8339
Elasticsearch8版本安装详解,单节点部署、多节点部署、冷热温集群部署、IK分词器安装、简单生产安全模式配置配置文件参数基础
ElasticSearch: xpack 密码安全验证
qq_41063182的博客
09-25 7130
背景 在阿里云部署了一台 ElasticSearch 节点,9200 端口直接暴露在了公网下,结果三天两头受到攻击,访问 kibana 老出现 redirect 重定向问题不能访问,查看日志索引都被人删除了,所以怀疑可能是因为被人恶意删除了,由此决定使用 xpack安全组件来保护 ElasticSearchElasticSearch 默认安装后,本身不提供任何安全保障,这也是被人攻击的原因之一 我们为了公网可以访问,配置了 server.host 为 0.0.0.0 这也是被人攻击的原因之一 xpa
Elasticsearch 8集群搭建、安全功能配置详述
02-02 3656
本文主要记录Elasticsearch 8.4.3的安装过程,一方面是记录如何搭建一个Elasticsearch 8 集群,另外一方面是通过安装过程,了解在这个过程中Elasticsearch在背后做了一些什么,有助于我们理解Elasticsearch的启动和集群搭建流程。
ElasticSearch 8 边学边教】01. ElasticSearch 8 的部署
Y_C_S_M的博客
05-17 1606
本篇文章主要介绍 ElasticSearch 8.2 的安装,启动,目录分布,简单配置等相关入门知识,这几篇文章都是自己边学边记录的,全部亲测,顺便造福各位道友
Kubernetes持久化部署elasticsearch7.15.0分布式集群
02-21
原文链接:https://blog.csdn.net/m0_37814112/article/details/122965720 说明:包含elasticsearch7.15.0集群3节点、5节点、7节点等三种方式的K8S部署yaml文件、镜像文件,里面有详细的README.txt部署参考
elasticsearch-bulk-insert-plugin-8.x-es7.x.x.zip
11-18
kettle 支持elasticsearch7.x 批量上传的插件,减压后放到data-integration\plugins 目录下即可
elasticsearch 全文搜索引擎在centOs8.x环境下 安装配置服务搭建.rar
05-20
elasticsearch 全文搜索引擎在centOs8.x环境下 安装配置服务搭建
02-Elasticsearch 8.x 向量搜索使用详解 杭州 1.6 2024
01-08
介绍用 Elasticsearch8 进行向量搜索开发的详细细节,包括调用 embedding 模型进行向量化,向量搜索 API 使用,最佳实践,语义搜索,混合搜索等等内容。
ElasticSearch安装、配置与使用
伯子南的博客
06-10 2850
Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。本文主要对ES的安装配置与基本使用进行学习总结。
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
h952520296的博客
11-14 3198
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
Failed to stop elasticsearch.service: Unit elasticsearch.service not loaded.
07-14
这个错误提示意味着系统中没有加载 `elasticsearch.service` 单元。有几种可能的原因导致这个问题: 1. Elasticsearch未正确安装:请确保已经按照正确的步骤安装了Elasticsearch,并且没有出现任何错误。 2. 单元文件不存在:检查 `/etc/systemd/system/` 目录下是否存在 `elasticsearch.service` 文件。如果不存在,可能是由于安装过程中出现了问题,你可以尝试重新安装或者从其他可靠的来源获取该文件。 3. 单元文件权限问题:检查 `elasticsearch.service` 文件的权限是否正确。确保该文件对于Elasticsearch用户可读取。 4. 服务未启用:如果单元文件存在,但是未加载,你可以尝试手动启用该服务。使用以下命令启用Elasticsearch服务: ``` sudo systemctl enable elasticsearch.service ``` 如果问题仍然存在,请提供更多详细信息,以便我能够更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值