es基于search-guard插件实现加密认证

已于 2023-11-04 16:39:59 修改
阅读量738 收藏 3
点赞数 2
分类专栏: elasticsearch 文章标签: 运维 elasticsearch
于 2023-11-04 00:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50902636/article/details/134212478
版权

系列文章目录

第一章 es集群搭建
第二章 es集群基本操作命令

文章目录

前言

在实际生产环境中,中间件必须做到加密认证,因此本篇文章主要讲解以search-guard插件的方式实现es集群加密认证

一、search-guard是什么?

	search-guard是Elasticsearch的一个安全权限plugin,特性包括:
	
		权限控制粒度可以到indices,types,甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。
	
		search-guard可以实现用户访问es中日志需要登陆授权,不同用户访问不同索引,不授权的索引无法查看,分组控制不同user查看各自的业务。
		
	search-guard插件包含两部分,search-guard-ssl和search-guard-2两个插件

二、安装search-guard插件

0.安装Search Guard 插件的前提工作

	1、关闭ES的分片功能
		curl -XPUT 'http://xxx:9200/_cluster/settings?pretty' -H 'Content-Type: application/json' -d'
{
  "persistent": {
    "cluster.routing.allocation.enable": "none"
  }
}'
	2、停止es节点
		Kill pid

1.下载插件

下载search-guard插件
(es版本和search-guard插件有对应版本 https://docs.search-guard.com/6.x-25/search-guard-versions)

wget https://releases.floragunn.com/search-guard-6/6.8.13-25.6/search-guard-6-6.8.13-25.6.zip

2.安装插件

使用ES已有的插件工具,安装命令如下。会自动在ES的plugins目录下创建search-guard文件
	执行安装命令,前提是已安装es
		/export/server/elasticsearch-6.8.13/bin/elasticsearch-plugin install -b file:///root/search-guard-6-6.8.13-25.6.zip
备注:
	切记,plugins目录下不能存放任何打包后的文件,否则es启动会报相关错误

3.安装TLS工具

	该工具主要用于生成es认证证书
	
	下载TLS工具
		wget https://repo1.maven.org/maven2/com/floragunn/search-guard-tlstool/1.6/search-guard-tlstool-1.7.tar.gz
	
	解压
		tar xf /root/search-guard-tlstool-1.7.tar.gz -C /export/server/search-guard-tlstool/
	
	生成证书文件
		执行以下命令
			cd  /export/server/esearch-guard-tlstool/config
			cp example.yml tlsconfig.yml
			#含义:
			yibai 是公司名称
			ca: 根证书配置
			node: 节点证书配置
			clients: 客户端证书配置
			vim tlsconfig.yml
				ca:
				  root:
				     dn: CN=root.ca.test.com,OU=CA,O=test ,DC=test,DC=com #自定义即可
				     keysize: 2048
				     validityDays: 3650
				     pkPassword: none
				     file: root-ca.pem
				  intermediate:
				     dn: CN=signing.ca.test.com,OU=CA,O=test,DC=test,DC=com #同第一步的自定义即可
				     keysize: 2048
				     
				      # The validity of the generated certificate in days from now      
				     validityDays: 3650
				     pkPassword: none 
				     crlDistributionPoints: URI:https://raw.githubusercontent.com/floragunncom/unittest-assets/master/revoked.crl
				defaults:
				     validityDays: 3650
				     pkPassword: none                
				     nodesDn:
				     - "CN=*.test.com,OU=Ops,O=test,DC=test,DC=com"
				     nodeOid: "1.2.3.4.5.5"
				     generatedPasswordLength: 12
				     httpsEnabled: true
				     reuseTransportCertificatesForHttp: false 
				nodes:
				 - name: es
				   dn: CN=es.test.com,OU=Ops,O=test,DC=test,DC=com
				   dns: es
				clients:
				 - name: spock
				   dn: CN=spock.test.com,OU=Ops,O=test,DC=test,DC=com
				 - name: kirk
				   dn: CN=kirk.test.com,OU=Ops,O=test,DC=test,DC=com
				   admin: true

4.生成CA和node、client证书

	cd /export/server/search-guard-tlstool/tools
	./sgtlstool.sh -c ../config/tlsconfig.yml -ca #ca
	##会在tools下生成out目录
	./sgtlstool.sh -c ../config/tlsconfig.yml -crt #node、client

5.给证书赋权、并修改es的配置目录权限

	证书赋权
  	cd /export/server/search-guard-tlstool/tools/out
	chmod 600 root-ca.* signing-ca.* es* spock.* kirk.*
	修改es的配置目录权限
	chmod 700 /export/server/elasticsearch-6.8.13/config

6.分发证书配置文件到每个es-node节点

	cp /export/server/search-guard-tlstool/tools/out/{root-ca.pem,kirk.pem,kirk.key,es.pem,es.key} /export/server/elasticsearch-6.8.13/config

7.修改每台elasticsearch配置文件并重启服务

#添加以下配置
	searchguard.ssl.transport.pemcert_filepath: es.pem
	searchguard.ssl.transport.pemkey_filepath: es.key
	searchguard.ssl.transport.pemtrustedcas_filepath: root-ca.pem
	searchguard.ssl.transport.enforce_hostname_verification: false
	searchguard.ssl.transport.resolve_hostname: false
	xpack.security.enabled: false
	searchguard.restapi.roles_enabled: ["sg_all_access"]
	searchguard.authcz.admin_dn:
	- CN=kirk.test.com,OU=Ops,O=test,DC=test,DC=com
	searchguard.cert.oid: 1.2.3.4.5.5
#重启服务
	su elasticsearch
	/export/server/elasticsearch-6.8.13/bin/elasticsearch -d

8.每台节点使用sgadmin 启动 shard allocation

#因为第一步关闭了es分片功能,因此需要重启这个功能
	cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools/
	./sgadmin.sh -icl -nhnv -h 节点ip地址  --enable-shard-allocation -cacert ../../../config/root-ca.pem -cert ../../../config/kirk.pem -key ../../../config/kirk.key

9.es集群初始化

	cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools/
	./sgadmin.sh -icl -nhnv  -h 节点IP地址 -cd ../sgconfig/ -cacert ../../../config/root-ca.pem -cert ../../../config/kirk.pem -key ../../../config/kirk.key

10.验证es集群认证功能

#默认用户密码是admin/admin
	方法一:
		http://xxx:9200/_searchguard/health

	方法二:
		curl -u admin:admin -k -XGET 'http://xxx:9200/_cat?pretty'

11.修改admin用户的默认密码

	1、修改密码
	 cd	/export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools
	 ./hash.sh -p 新密码 会产生出一段密钥
	2、复制hash出来的密钥
		cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/sgconfig
		vim sg_internal_users.yml (注意每台es机器相同的密码hash之后的密钥都是不同的,因此该文件不能复用,每台机器都需要执行修改密码操作)
        #password is: j7fc03HZg3HB5NWa
        admin:
          readonly: true
          #hash: $2y$12$aUHp2s/6kC9MIwIzRlyTROJJC7a1ew4ZOgyxps/SSb6C2XcYDCHuO(旧的hash值)
          hash: $2y$12$RPIUUgNPFIVjt/CyBkVDVOYWSlut1t2F7DuiQIVvExjttFBi4n90O(第三步生成的hash值复制在这里)
          roles:
            - admin
          attributes:
            #no dots allowed in attribute names
            attribute1: value1
            attribute2: value2
            attribute3: value3
     3、执行tools/目录下的install_demo_configuration.sh脚本
        	sh install_demo_configuration.sh
      		有三步,分别输入y即可
     4、执行集群初始化sgadmin.sh脚本 看到success字样即完成密码修改(前提是es集群已处于运行中)
     	 cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools
      ./sgadmin.sh -cd ../sgconfig -key ../../../config/kirk.key -cert ../../../config/kirk.pem -cacert ../../../config/root-ca.pem -nhnv -icl

12.配置新用户密码

	1、产生密钥
		 cd	/export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools
	 	./hash.sh -p 新密码 会产生出一段密钥
	2、修改配置文件并添加新用户及密钥
		cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/sgconfig
		vim sg_internal_users.yml (注意每台es机器相同的密码hash之后的密钥都是不同的,因此该文件不能复用,每台机器都需要执行修改密码操作)
			icity: #新用户
			  readonly: true #是否只读
			  hash: $2y$12$aUHp2s/6kC9MIwIzRlyTROJJC7a1ew4ZOgyxps/SSb6C2XcYDCHuO #第一步产生的密钥
			  roles:
			    - admin #这个icity对应的角色是admin超管角色
			  attributes:
			    #no dots allowed in attribute names
			    attribute1: value1
			    attribute2: value2
			    attribute3: value3
	 3、执行tools/目录下的install_demo_configuration.sh脚本
        	sh install_demo_configuration.sh
      		有三步,分别输入y即可
     4、执行集群初始化sgadmin.sh脚本 看到success字样即完成新用户添加及密码修改(前提是es集群已处于运行中)
     	 cd /export/server/elasticsearch-6.8.13/plugins/search-guard-6/tools
      ./sgadmin.sh -cd ../sgconfig -key ../../../config/kirk.key -cert ../../../config/kirk.pem -cacert ../../../config/root-ca.pem -nhnv -icl

总结

本篇文章主要以search-guard插件的方式来实现es集群的加密认证,包含了创建认证证书、创建新用户、修改密码等操作,还可以给不同的用户赋予不同的权限及设置不同的角色role,此处就不再过多讲解,后期会再新增一个基于x-pack加密认证。这两种方法就可以完全实现生产环境的应用。
迷茫运维路
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
elasticsarch6.5.4安装插件 searchguard和elasticsearh-head插件安全性问题
weixin_33910137的博客
01-25 273
2019独角兽企业重金招聘Python工程师标准>>> ...
Elasticsearch权限监控——search-guard介绍
eff666的博客
10-24 9271
1、概述 search-guardElasticsearch的一个安全权限plugin,特性包括: 权限控制粒度可以到indices,types,甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。search-guard可以实现用户访问es中日志需要登陆授权,不同用户访问不同索引,不授权的索引无法查看,分组控制不同user查看各自的业务。search-guard
elasticsearch + search-guard + filebeat + metricbeat + logstash + kibana ELK整体安装配置教程_metricbeat安装(1)
最新发布
2401_84715583的博客
05-07 920
es的bin目录下执行 ./elasticsearch-plugin install -b file:///home/elk/elasticsearch/search-guard/search-guard-6-6.4.0-23.1.zip…….tar.gz -C。(4)将search-guard-6-6.7.1-25.1.zip和search-guard-certificates-(3)在es的目录下新建search-guard目录,在es的目录下的config目录下新建key目录。
search-guard
qq_18746961的博客
03-23 3547
search-guard elasticsearch
ElasticSearch配置SearchGuard
hq.zheng的博客
04-11 802
复制es目录/config/key下的root-ca.pem,client-certificates/CN=sgadmin.crtfull.pem,client-certificates/CN=sgadmin.key.pem 到/usr/local/elasticsearch-6.4.3/plugins/search-guard-6/tools下。3、 修改/usr/local/elasticsearch-6.4.3/config/elasticsearch.yml。
elastic5 searchguard实现权限控制日志收集
yevvzi的博客
01-05 2348
公司新上的项目要做日志检索 机器不太够 弄了一台给各个项目组用,为了各个项目组分开查看各自的日志,就重新装了一下,之前用的es2.4,刚好elastic5出来也有一段时间了,就想着搞一下 注:用的elastic 5.1.1 1.安装elk请自行百度,或者看我之前写的一篇简单的文章 2.安装searchguard 5.0以后不需要安装search-guard-ssl plugin
ES2.4.0之Search Guard2.4.0.12安装与配置
Coding Farmer的博客
06-13 920
一、介绍 Search Guard是一个开源的安全插件,用于Elasticsearch和整个搜索提供加密认证、授权和审计日志的ELK堆栈多租户和遵从性特性。官网地址为:https://search-guard.com/ 二、所需安装包下载 search-guard-2-2.4.0.12.zip 下载地址:https://search.maven.org/remotecontent?fi...
elasticsearch集群安全加密插件search-guard
11-04
**Elasticsearch 集群安全加密插件 Search Guard** Search Guard是一款强大的安全解决方案,专为Elasticsearch设计,提供全面的数据保护、访问控制和安全监控功能。它可以帮助企业满足合规性要求,确保数据在传输和...
es5.6.4添加search-guard插件
04-20
Elasticsearch 5.6.4版本中,为了实现安全管理和访问控制,我们可以选择安装Search-Guard插件Search-Guard是一款强大的安全解决方案,提供了丰富的功能,如用户认证、权限管理、审计日志以及对Kibana和Elastic...
search-guard-6.5.4 和 其对应的ssl
01-08
**search-guard-es-6.5.4.zip** 文件包含了Search Guard的核心插件,它将安装在Elasticsearch实例上,提供所有必要的安全特性。这个插件包括了认证、授权、审计和日志记录等功能,使得Elasticsearch能够满足企业级的...
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
2. **安装SearchGuard插件** 确保选用的SearchGuard版本与Elasticsearch版本相匹配。在每个节点上运行以下命令进行安装: ``` ./bin/elasticsearch-plugin install -b file:///path/to/search-guard-<版本>.zip ``` ...
ElasticSearch集成SearchGuard配置和实现TransportCient链接
02-28
ElasticSearch5集成SearchGuard5插件实现索引级别的权限控制;含有证书生成配置文件,elasticSearch.yml配置文件,角色配置映射等全套的配置文件,只需按照自己的集群环境修改部分参数即可;配有java实现TransportClient链接集群,证书实现权限控制的实例
elasticsearch6.5.4配置 ik 和 search-guard
01-08
2. 安装Search Guard插件,确保版本与Elasticsearch兼容。 3. 配置`sg_config`目录下的`sg_action_groups.yml`、`sg_roles.yml`、`sg_users.yml`等文件,定义用户、角色和权限。 4. 配置`elasticsearch.yml`,启用...
search-guardElasticsearch 2.3 上的运用
weixin_30492601的博客
03-08 154
uni3orns · 2016/06/23 11:09Author:uni3orns参考内容:kibana.logstash.es/content/ela…groups.google.com/forum/#!for…github.com/floragunnco…此文章基于以下软件版本,不同版本可能略有差异:elasticsearch 2.3.3search-guard 2.3.3 RC10x00 ...
ElasticSearch2.4.2安装search-guard插件
零度的博客专栏
07-18 1839
(1)环境; elasticsearch 2.4.2 (2):github上分支没有2.4.x版本的分支,笔者一度找了好久才找到下面一个版本关系对应表 elasticsearchsearch-guard以及search-guard-ssl: (3): 进入elasticsearch的bin目录,执行命令安装search-guard ./plugin install -b com.fl...
kibana的search-guard配置
lijibo503的专栏
04-08 5212
此文章解决ElasticSearch2.4.2(http://blog.csdn.net/lijibo503/article/details/69396860)安装search-guard插件中遗留的问题elasticsearch安装searchguard以后,会发现kibana不能连上elasticsearch了,这个问题怎么解决呢解决方案: (1):编辑kibana.yml文件 添加如下配置
docker下elasticsearch安全插件searchguard的安装笔记
独行侠梦的博客
06-08 3246
前言 es在 6.8 和 7.1 版本后,核心安全功能(例如 TLS、文件和原生 Realm 身份验证,以及基于角色的访问控制)免费提供,如果使用的是高版本es则是开箱即用的,对于低版本的es安全功能是收费的,这里使用第三方的安全框架searchguard来加固低版本的es.但本次用es7.1.1来演示。 网上容器化安装的资料很少,这里 记录一下使用docker来安装。 所有操作均在考虑无外部网...
使用SearchGuardElasticSearch进行权限访问控制
SaySeaKing的博客
07-25 4239
安装SearchGuard插件 集群中每一台设备都需要安装 在线安装 在”http://mvnrepository.com/artifact/com.floragunn/search-guard-5“中查找相应版本。 Example(com.floragunn:search-guard-5:5.0.1-12) $ cd %ES_HOME% $ bin/elas...
search guard
07-28
Search GuardElasticsearch的安全插件,它提供身份验证和授权功能,并为Elasticsearch添加审核日志记录和文档/字段级安全性。\[2\]Search Guard的基本安全功能是免费的,并且内置在Search Guard中。它支持OpenSSL,并可以与Kibana和logstash一起使用。\[2\]如果你想在Linux下安装Search Guard插件,你可以参考官方文档和一些博客文章提供的安装指南。\[3\] #### 引用[.reference_title] - *1* *2* *3* [【弄nèng - SearchGuard】应用篇 —— Windows下elasticsearch5.2.2 安装SearchGuard5.2.2](https://blog.csdn.net/yy756127197/article/details/103515347)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值