Elasticsearch创建安全账户

最新推荐文章于 2025-04-24 21:33:46 发布
最新推荐文章于 2025-04-24 21:33:46 发布
阅读量1.8k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: Elasticsearch 运维 Linux 文章标签: elasticsearch 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenshm/article/details/124395887

1.在es节点上启用安全功能

在es配置路径/elasticsearch-7.17.1/config下的elasticsearch.yml添加如下两行

[sandwich@centos-elk config]$ tail -n 2 elasticsearch.yml
xpack.security.enabled: true
discovery.type: single-node

这里只考虑单节点,如果你有多个节点,则可以在群集中的每个节点上启用 Elasticsearch 安全功能,并为节点间通信配置传输层安全性(TLS)。
集群我们以后再配置。
重启es。

2.为内置用户创建密码

es内置用户用于特定的管理目的:apm_system,beats_system,elastic,kibana,logstash_system 和 remote_monitoring_user。
在使用它们之前,我们必须为它们设置密码。在 Elasticsearch 的目录里安装打入如下的命令:

[sandwich@centos-elk bin]$ ./elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,kibana_system,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]: 
Reenter password for [elastic]: 
Enter password for [apm_system]: 
Reenter password for [apm_system]: 
Enter password for [kibana_system]: 
Reenter password for [kibana_system]: 
Enter password for [logstash_system]: 
Reenter password for [logstash_system]: 
Enter password for [beats_system]: 
Reenter password for [beats_system]: 
Enter password for [remote_monitoring_user]: 
Reenter password for [remote_monitoring_user]: 
Changed password for user [apm_system]
Changed password for user [kibana_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

如果喜欢随机密码,可以用以下方式创建

./bin/elasticsearch-setup-passwords auto

创建好可以用如下方式验证

curl -u elastic:pwd http://192.168.32.3:9200

或者

curl http://elastic:pwd@192.168.32.3:9200

3.查看内置用户和权限

用/_security/user接口可以查看所有的用户列表以及用户拥有的roles

4.为Kibana添加内置用户

启用es安全功能后,用户必须使用有效的账号登录Kibana.
Kibana还执行一些需要使用内置用户的任务
如果不介意在配置文件中显示密码,更新 Kibana 安装目录下的 config 子目录中的 kibana.yml文 件中的以下设置

[sandwich@centos-elk config]$ tail -n 2 kibana.yml 
elasticsearch.username: "kibana"
elasticsearch.password: "123456"

如果你不想你的用户id和密码放在kibana.yml文件中,请将它们存储在密钥库中。
运行以上命令创建Kibana密钥库并添加安全设置:

[sandwich@centos-elk bin]$ ./kibana-keystore create
Created Kibana keystore in /home/sandwich/app/elk/kibana-7.17.1-linux-x86_64/config/kibana.keystore
[sandwich@centos-elk bin]$ ./kibana-keystore add elasticsearch.username
Enter value for elasticsearch.username: ******
[sandwich@centos-elk bin]$ ./kibana-keystore add elasticsearch.password
Enter value for elasticsearch.password: ******

也可以在启动Kibana带上账户信息,如下

./bin/kibana --elasticsearch.hosts="http://localhost:9200" --elasticsearch.username=kibana --elasticsearch.password=123456

上面三方式任选其中一种,对于我来说,生产环境一定是加密的那种

重启Kibana
重新打开Kibana,这时候需要输入es账号登录

5.创建用户

在前面我们已经使用内置用户elastic登录我们的Kibana。现在我们测试新建用户。
进入Stack Management/Security/Users页面

kibana用户信息,所以这里显示’Deprecated’是表示已经不建议使用这个保留用户了。
现在建议用kibana_system, 它们的权限是一样的,在以下接口得到印证

好了,题外话不多说了,选择‘Create User’

创建一个用户,但是先不分配权限试试

接着退出登录,用这个新用户登录试试

连登录都没有权限
添加kibana_admin role,使其可以访问Kibana的所有功能。

重新登录,一切正常。

参考文章:
https://elasticstack.blog.youkuaiyun.com/article/details/100548174

【云原生】Docker 部署 Elasticsearch 9 操作详解
congge_study的博客
06-22 3309
Docker 部署 Elasticsearch 9 操作详解
Elasticsearch如何设置密码
邓邓子的博客
02-19 7254
kibana 账号:用来连接 elasticsearch 并与之通信。Kibana 服务器以该用户身份提交请求以访问集群监视 API 和 .kibana 索引,不能访问 index。logstash_system 账号:用户 Logstash 在 Elasticsearch 中存储监控信息时使用。elastic 账号:内置的超级用户,拥有 superuser 角色。访问 http://ip地址:9200/
ElasticSearch添加用户权限验证.docx
02-03
线上Elasticsearch集群,版本6.4.3,尽管为内网环境,并关闭的9200的外网访问端口,但安全扫描之后发现其存在elasticsearch未授权访问问题,需要进行http basic认证。
ELK-elasticsearch设置用户、添加新用户、以及对应密码修改
shinexunmeng的博客
08-09 1万+
ELK-elasticsearch设置用户、添加新用户、以及对应密码修改
Elasticsearch 角色与用户管理
最新发布
2503_91812631的博客
04-24 755
通过角色与用户的管理,Elasticsearch 可以实现精细化的权限控制,从而提升数据安全性和系统可控性。本文介绍了角色与用户的基本概念、默认配置、创建和管理方法,并提供了一些基础的操作示例。在企业级环境中,为了确保数据安全和操作合规性,角色与用户的权限管理是 组成Elasticsearch 安全性的重要部分。其核心思想是通过角色定义权限,并将角色分配给用户来实现精细化的权限管理。默认值:false。用于 Kibana 服务的内部用户,自动配置为 `kibana_system` 角色。
elasticsearch搭建
前方的路在刚开始
05-05 2987
Past Releases of Elastic Stack Software | Elastic 下载,我下的7.9.3,听说7以后自jdk11 https://www.elastic.co/cn/downloads/past-releases#elasticsearch 解压,我解压到了根目录 tar -zxvf elasticsearch-7.9.3-linux-x86_64.tar.gz -C /建立es用户,启动es必须是es用户,并且把刚刚解压的文件夹,所属人,给es adduser
Elasticsearch7.8 创建用户
weixin_45824909的博客
02-21 2793
Elasticsearch添加用户配置 一开始没弄用户配置,把elastic search丢到服务器上裸奔 结果惨的一批,幸亏都是测试的假数据 好了,进入正题 添加elastic.yml配置 xpack.security.enabled: true xpack.security.audit.enabled: true xpack.license.self_generated.type: basic xpack.security.transport.ssl.enabled: true 配置好了就启动Elas
ElasticSearch
tianiankupao的博客
04-13 1770
一、安装Elasticsearch 1、安装Elasticsearch 1.1、创建普通用户 ES不能使用root用户来启动,必须使用普通用户来安装启动。 创建一个es专门的用户(必须) # 使用root用户在服务器执行以下命令创建组,再创建用户: 1)创建elasticsearch 用户组 [root@localhost ~]# groupadd elasticsearch 2) 创建用户es并设置密码 [root@localhost ~]# useradd es [root@loca
【高级篇】第8章 Elasticsearch 安全与权限管理
David的博客
07-02 1582
X-Pack,作为Elastic Stack的旗舰级扩展,不仅仅是一个附加组件,它是确保Elasticsearch集群安全、可观察性及扩展性的核心框架。
Python 连接和操作Elasticsearch
02-27 1000
Elasticsearch 是一个高性能的分布式搜索和分析引擎,常用于存储和分析大规模数据。通过 Python,可以轻松与 Elasticsearch 交互。本文详细介绍如何通过 Python 使用 elasticsearch-py 库连接和操作 Elasticsearch,包括安装、查询、索引操作以及高级功能。
Elasticsearch 8.9.1安装教程
doris8204的博客
03-28 716
xpack.security.transport.ssl.keystore.path: /data/elasticsearch-8.9.1/elastic-certificates.p12 #这是SSL密钥库的路径,它包含了你的私钥和证书。xpack.security.transport.ssl.enabled: false #是否启用传输通信的SSL/TLS加密。xpack.security.http.ssl.enabled: false #是否启用HTTP通信的SSL/TLS加密。
elasticsearch设置账号和密码
小石潭记丶
09-30 9231
注:前两个红框直接回车,第三个红框可以直接回车,也可以输入证书密码。目前青田实际的yml文件:通过挂载的方式实现的上面两个步骤。或者直接拷贝到宿主机,通过挂载的方式挂载进去。注:密码可设置为同一个密码,容易记住。注:两个红方框位置直接回车。
ElasticSearch 7配置密码认证及创建用户
热门推荐
雅冰石的专栏
11-06 2万+
一 背景介绍 我们直接安装的ES默认是没有账号与密码的,输入ES服务器的ip:端口,直接就能返回结果,非常不安全: 因此需要设置账号密码。 我这里的实验环境: 二 创建用户 2.1 在ES节点上设置用户密码 2.1.1 在其中一个节点上生成认证文件 必须要生成认证文件,且ES配置文件里要引用这些生成的认证文件,否则启动ES的时候,日志会报错:Caused by: javax.net.ssl.SSLHandshakeException: No available authentic.
elasticsearch 配置用户名和密码
Xeon_CC的博客
08-02 7766
无密码的其他配置项在:https://blog.youkuaiyun.com/Xeon_CC/article/details/132064295。
Elasticsearch搭建
weixin_51720711的博客
02-24 4855
elasticsearch搭建,以及数据备份一、环境二、单机部署1、解压安装包,创建elasticsearch用户,赋权2、修改配置文件3、启动报错1 没有jdk环境报错2 都是因未对操作系统做优化导致三、集群部署1、安装es(同上,配置文件加入集群配置)2、启动,验证3、开启用户认证功能3.1 生成证书3.2 赋权,传到集群内的其他服务器相同目录3.3 配置文件中开启xpack3.4 重启es,添加密码3.5 修改密码3.5.1 已知现在密码修改3.5.2 忘记密码 一、环境 主机名 IP地址
Elasticsearch开启认证|为ES设置账号密码|ES账号密码设置|ES单机开启认证|ES集群开启认证
浣花御劍
06-27 1万+
ES安装完成并运行,默认情况下是允许任何用户访问的,这样并不安全,可以为ES开启认证,设置账号密码。下面介绍ES单节点开启认证以及ES集群开启认证的操作过程。注意:Elasticsearch 8.11.4 不需要手动开启认证,安装时候会自动引导开启,下面介绍的是 Elasticsearch 7.17.3版本开启认证
ElasticSearch添加用户名及密码
zhiwenganyong的博客
07-25 7463
ElasticSearch添加用户名及密码
es设置账号和密码
u014391549的博客
04-24 4855
注:前两个红框直接回车,第三个红框可以直接回车,也可以输入证书密码。注:密码可设置为同一个密码,容易记住。注:两个红方框位置直接回车。
elasticsearch8安全认证
02-26
### Elasticsearch 8 安全认证配置教程 #### 启用安全特性 默认情况下,Elasticsearch安全功能可能未启用。为了启动这些功能,在 `elasticsearch.yml` 文件中设置如下参数来开启 X-Pack 安全插件: ```yaml xpack.security.enabled: true ``` 此操作确保启用了内置的安全机制[^1]。 #### 创建并编辑配置文件 通过命令行工具将正在运行的 Elasticsearch 实例中的配置文件拷贝至本地环境以便于修改: ```bash docker cp some-elasticsearch:/usr/share/elasticsearch/config/elasticsearch.yml /root/elasticsearch.yml ``` 之后可以使用文本编辑器打开 `/root/elasticsearch.yml` 进行必要的更改[^2]。 #### 设置用户名密码验证 对于基本的身份验证方式,需定义初始用户账户及其权限。这可以通过执行以下 shell 脚本来完成初始化过程: ```bash bin/elasticsearch-setup-passwords interactive ``` 上述脚本会引导用户为预设的角色(如 elastic, kibana_system 等)创建强口令[^3]。 #### 修改网络访问控制列表 (ACL) 调整 `elasticsearch.yml` 中有关主机名或 IP 地址的部分以适应实际部署场景的需求;例如指定允许连接的服务端点地址: ```yaml network.host: ["localhost", "your.server.ip"] ``` 同时建议添加区域化支持选项,比如设置语言环境为中国大陆标准: ```yaml i18n.locale: "zh-CN" ``` 以上步骤有助于提高系统的易用性和用户体验度。 #### 应用更新后的配置 当所有的自定义改动完成后,记得把修改过的配置重新上传回容器内部相应位置,并重启服务使新设定生效: ```bash docker cp /root/elasticsearch.yml some-elasticsearch:/usr/share/elasticsearch/config/ docker restart some-elasticsearch ``` 最后确认一切正常运作后即可投入使用新的安全策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT三明治

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值