在ElasticSearch6.8及以上版本开启安全认证功能

最新推荐文章于 2024-02-20 09:35:22 发布
最新推荐文章于 2024-02-20 09:35:22 发布
阅读量1k 收藏
点赞数
分类专栏: DB 文章标签: 安全 elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxing598/article/details/128887530
版权

title: 在ElasticSearch6.8及以上版本开启安全认证功能
date: 2019-06-20 20:01:00
tags:

  • elastic search
  • es安全认证
    categories:
  • 搜索引擎
  • ElasticSearch

在6.8之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能,对于普通用户来说是够用的。

请添加图片描述

免费版本

  1. TLS 功能,可对通信进行加密
  2. 文件和原生 Realm,可用于创建和管理用户
  3. 基于角色的访问控制,可用于控制用户对集群 API 和索引的访问权限;
  4. 通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。

收费版本包含更丰富的安全功能,比如:

  1. 日志审计
  2. IP过滤
  3. LDAP、PKI和活动目录身份验证
  4. 单点登录身份验证(SAML、Kerberos)
  5. 基于属性的权限控制
  6. 字段和文档级别安全性
  7. 静态数据加密支持

需要同时在ES和kibana端开启安全认证功能,下面介绍如何操作。

ES端

启用安全模块

  1. 打开ES配置文件 $ES_PATH_CONF/elasticsearch.yml 添加设置:xpack.security.enabled:true,在免费版本中此项设置是禁用的,所以需要显式打开它。
  2. 非集群模式下启用单节点发现 discovery.type: single-node。如果你是在ES集群中配置则忽略本项,因为集群模式下要配置TLS。

启用Elasticsearch安全功能时默认情况下会启用基本身份验证,要与集群通信你必须指定用户名和密码,除非启用匿名访问,否则所有不包含用户名和密码的请求都将被拒绝。

为系统默认用户创建密码

Elastic Stack安全功能提供内置的用户凭据可帮助你启动运行ES,这些用户具有一组固定的权限,在设置密码之前无法进行身份验证,其中elastic用户可以用来设置所有内置的用户密码。

上面的内置用户存储在一个特殊 .security 索引中,该索引由Elasticsearch管理。如果禁用内置用户或其密码更改,则更改将自动反映在集群中的每个节点上。但是,如果从快照中删除或恢复索引,则已应用的任何更改都将丢失。

  1. 先创建keystore文件 bin/elasticsearch-keystore create
  2. 在Elasticsearch目录中运行命令:./bin/elasticsearch-setup-passwords interactive,回车之后为每一个用户设置独立的密码。记住ES实例必须启动。
  3. 你需要在后续步骤中使用这些内置用户,因此务必牢记前面设置的密码!

在集群上配置TLS

如果你在操作单节点ES则可以跳过本内容。

Elastic Stack安全功能使你可以加密来自Elasticsearch集群的流量。使用传输层安全性(TLS)来保护连接,传统层安全性通常称为“SSL”。

为每个Elasticsearch节点生成私钥和X.509证书

  1. 生成CA证书 bin/elasticsearch-certutil ca,将产生新文件 elastic-stack-ca.p12。该 elasticsearch-certutil 命令还会提示你输入密码以保护文件和密钥,请保留该文件的副本并记住其密码。
  2. 为集群中的每个节点生成证书和私钥 bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12,将产生新文件 elastic-certificates.p12。系统还会提示你输入密码,你可以输入证书和密钥的密码,也可以按Enter键将密码留空。默认情况下 elasticsearch-certutil 生成没有主机名信息的证书,这意味着你可以将证书用于集群中的每个节点,另外要关闭主机名验证。
  3. elastic-certificates.p12 文件复制到每个节点上Elasticsearch配置目录中。例如,/home/es/config/certs。无需将 elastic-stack-ca.p12 文件复制到此目录。
    mkdir config/certs
mv elastic-certificates.p12 config/certs/

配置集群中的每个节点以使用其签名证书标识自身并在传输层上启用TLS

  1. 启用TLS并指定访问节点证书所需的信息,将以下信息添加到每个节点的 elasticsearch.yml 文件中:
    xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
  2. 如果你在创建证书时输入了密码,那可以通过下面的方法设置。
    bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
  3. 重启Elasticsearch

配置为使用TLS的节点无法与使用未加密网络的节点通信(反之亦然)。启用TLS后,必须重新启动所有节点才能保持群集之间的通信。

你还可以选择在HTTP层上启用TLS,这里就不作介绍了。

  • 处理 [1]: max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535] 问题,打开 /etc/security/limits.conf 文件并添加下面内容,其中es表示启动ES实例的用户。
    es   soft    nofile          65536
es   hard    nofile          65536
es   memlock unlimited

其它组件中启用加密(非强制)

根据自己的需要配置,不配置并不影响本次启用安全认证功能。

  1. 配置X-Pack监视以使用加密连接
  2. 配置Kibana以加密浏览器和Kibana服务器之间的通信,并通过HTTPS连接到Elasticsearch。
  3. 配置Logstash以使用TLS加密
  4. 配置Beats以使用加密连接
  5. 配置Java传输客户端以使用加密通信
  6. 配置Elasticsearch for Apache Hadoop以使用安全传输。

Kibana端

启用Elasticsearch安全功能后,用户必须使用有效的用户ID和密码登录Kibana。

将内置用户添加到Kibana

  1. kibana.yml 文件中填写连接ES的用户凭证,上一步有为 kibana 用户初始化密码。
    elasticsearch.username: "kibana"
elasticsearch.password: "your_password"
  2. 如果你不想将用户ID和密码放在kibana.yml文件中明文配置,可以将它们存储在密钥库中。运行以下命令以创建Kibana密钥库并添加配置:
    ./bin/kibana-keystore create
./bin/kibana-keystore add elasticsearch.username
./bin/kibana-keystore add elasticsearch.password
  3. 重启kibana。

测试

重新访问kibana会跳转到登录页面,用上面初始化的内置账号比如elastic来登录即可。进入Manager菜单可以添加用户和角色,权限是和角色绑定的。

参考文献

  1. https://www.elastic.co/guide/en/elastic-stack-overview/6.8/ssl-tls.html
TerrenceTian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK和Kerberos认证
tof
01-12 916
ELK和Kerberos认证 1.简介 ES从6.4.0开始支持Kerberos认证,此功能不开源,需要会员。但是下载安装功能,可以开启免费试用30天。 注:Elasticsearch简称ES 2.版本 名称 服务器 版本 IP KDC服务端 centos7 1.15.1-50.el7 192.168.174.132 Kerberos客户端 centos7 1.15.1-50.el7 192.168.174.133 Kerberos
elasticsearch-6.8.13.jar
05-31
Elasticsearch 子项目:服务器 org.elasticsearch/elasticsearch/6.8.13/elasticsearch-6.8.13.jar
elasticsearch6.8.23集群安装和设置密码
laok186的博客
04-06 1496
elasticsearch6.8.23集群安装和设置密码
elasticsearch-6.8.18.rar(elasticsearch-6.8.18.zip)
08-21
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。本资源是6.8.18版本
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
最新发布
Innocence_0的博客
02-20 1292
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
elasticsearch6.8.10
11-04
elasticsearch6.8.10.tar.gz, linux与windows都可以启动,配置文件已配置
elasticsearch配置文件_腾讯云 Elasticsearch 实战篇(二十二) ES6.8权限使用配置
weixin_39698007的博客
11-30 292
前言|在前面的章节中我们讲了开源架构ELK、腾讯云Elasticsearch产品系列。我们也知道了,在构建腾讯云ES集群的时候,我们选择的6.8.2白金版具备充分的安全的机制来保证数据和访问的安全。那么,它到底是如何实现的呢?我们今天就来简单聊聊这个问题:一、在ElasticSearch6.8及以上版本开启安全认证功能ElasticSearch的商业插件X-pack 在ES6.x版本以前一直都是收...
elasticsearch6.8.4-docker部署升级方式以及安全加密
BF的博客
11-06 2813
docker部署升级方式 项目中间件升级以及安全加固,这里记录一下,有需要的同学可以参考下 需要升级内容:elasticsearch、kibana、ik分词器 准备工作:下载ik分词器6.8.4版本放入elasticearch插件dir elasticsearch升级 elasticserach 配置 dir [root@localhost elasticsearch]# ls /docker...
ElasticSearch7.2.1+SearchGuard+Kibana+KerBeros集群测试环境部署文档.pdf
11-16
ElasticSearch7.2.1+SearchGuard+ KerBeros+Kibana 集群测试环境部署文档,全网首发,网上能找到的都没有带上kerberos这种环境的,本文档包含了4大件ElasticSearch、SearchGuard、KerBeros、Kibana,谢谢下载
elasticsearch添加kerberos认证完整操作流程
m0_68158196的博客
09-22 910
es添加kerberos认证的完整操作流程,包含kerberos服务的搭建、es如何添加kerberos认证以及java如何操作添加了kerberos认证的es
Elasticsearch设置账户和密码
imonkeyi的博客
12-17 4799
启用X-Pack 用户名和密码是 Elasticsearch 最基本的安全功能,要使用这个功能我们要启用 X-Pack 安全功能,X-Pack是 Elasticsearch安全插件,在 elasticsearch.yml 文件添加配置 xpack.security.enabled 并设置为 true 来开启安全功能,修改我们的 docker-compose.yml 文件。 services: es01: image: elasticsearch:7.14.1 container_n
[OpenDistro] elasticsearch安全开启kerberos
qq_24186017的博客
03-17 745
前言 方案一:修改elasticsearch x-pack模块源码,破解license最低为白金版本 刚开始调研为了使用kerberos,进行了破解。但是作为to B企业,这样做不是很好。所以再寻找其他方案 方案二: 使用亚马逊开源的Open Distro,里面有安全的插件,是完全开源的。 这个方案很适合我们公司,完全开源的。只需要安装插件即可。 ...
elasticsearch-6.8.15.jar
05-31
Elasticsearch 子项目:服务器 org.elasticsearch/elasticsearch/6.8.15/elasticsearch-6.8.15.jar
es插件之ik分词器插件(适用于es6.8版本)
11-04
es插件之ik分词器插件(适用于es6.8版本)
springboot集成elasticsearch6.81设置密码xpack连接
小栋哟
07-01 6009
最近有个需求,为保证数据的安全性,需要给es添加密码,所以就整了一下,因为环境不同,分为两种,一种是仅设置密码,没有秘钥证书的,另外一种是设置密码也设置了秘钥证书; 本次记录的是第一种方式仅设置密码方式,如需要证书秘钥方式的,可以点击我这篇博客 一、安装es并设置密码 1.百度现成的挺多就不再详细记录了,可以自行去查找 不过也推荐一个https://www.cnblogs.com/weibanggang/p/11589464.html(写的相当不错) 2.安装完...
Elasticsearch 安全功能入门
Little_fxc的博客
11-14 361
1. 前言 从 Elastic Stack 6.8 和 7.1 开始,Elasticsearch在默认分发包中免费提供多项安全功能,例如 TLS 加密通信、基于角色的访问控制 (RBAC),等等。在本文中,我将会演示如何启用这些功能来确保您的 Elasticsearch 集群的安全。 实际演示中,我将会在两台centos7上各自创建一个一节点 Elasticsearch 集群并进行安全设置。要实现...
es-6.8.0以上版本开启权限认证x-pack配置
Mr.Bug的博客
03-30 8771
非常重要,如果生成密钥时 没有绑定 dns 和 ip 等信息(直接回车生成的的密钥),创建客户端时 必须加上 xpack.security.transport.ssl.verification_mode 属性,属性值为 certificate
elasticsearch配置密码、docker数据迁移、IP白名单
suqinyi的博客
09-28 2078
es配置密码es的版本切换和数据迁移本文环境说明:基于 docker在6.8之前免费版本并不包含安全认证功能,6.8及以后免费开放。
elasticsearch6.8.11安装部署开启用户密码访问
lx_1314的博客
01-25 723
【代码】elasticsearch6.8.11安装部署开启用户密码访问。
ubuntu安装elasticsearch6.8
09-13
通过以上步骤,您应该能够在Ubuntu上成功安装并运行Elasticsearch 6.8版本。请记得根据您的需要进行任何配置更改。希望这对您有所帮助! 另外,如果您想将已经存在于`/data/elasticsearch/data/`目录下的证书复制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值