Elasticsearch-安全特性(Security)

最新推荐文章于 2025-06-01 09:00:13 发布
最新推荐文章于 2025-06-01 09:00:13 发布
阅读量1.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术 ELK 文章标签: elk elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lihaipeng0417/article/details/116149224
本文详细介绍了Elasticsearch 7.11版本的安全特性,包括如何启用加密通讯以确保节点间和HTTP客户端通信的安全,以及如何生成节点证书。同时,文章阐述了用户认证机制,如基于角色的访问控制和API密钥服务,以实现对集群的精细权限管理。此外,还讲解了相关概念如SSL/TLS、X.509证书和数字证书颁发机构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Elasticsearch安全特性,介绍加密通讯的基本原理、开启安全特性的操作步骤、如何生成节点证书、用户认证和相关概念等。
基于7.11版本。

目录

安全特性

Elastic Stack安全功能使您可以轻松保护集群。

Elasticsearch集群保护方式:

  • 通过密码保护,基于角色的访问控制和IP过滤防止未经授权的访问。
  • 使用SSL/TLS加密保留数据的完整性。
  • 维护审计跟踪,知道谁在对集群进行操作

Elasticsearch配置安全的简易步骤:

  1. 集群内每个节点设置为xpack.security.enabled: true
  2. 为节点间通信配置TLS/SSL【#加密通讯】
  3. 启动Elasticsearch
  4. 设置内置用户和密码(命令:elasticsearch-setup-passwords auto
  5. 设置角色和用户,控制对Elasticsearch的访问
  6. (可选)启用审计功能xpack.security.audit.enabled: true,并重启集群

1 加密通讯

未启用加密的群集将以纯文本格式(包括密码)发送所有数据。如果启用了Elasticsearch安全功能,除非您具有试用许可证,否则必须配置SSL/TLS进行节点间通信。

  • Elasticsearch集群节点间通信使用SSL/TLS加密,保护节点安全有助于降低基于网络的攻击的风险
  • 要求节点使用SSL证书添加到集群时进行身份验证,新节点的身份验证有助于防止流氓节点加入群集并通过复制接收数据

Elasticsearch集群配置STL

  1. 为每个Elasticsearch节点生成一个私钥和X.509证书【#生成节点证书】
  2. 在集群中配置每个节点,以使用其签名证书标识自己,并在传输层上启用TLS。还可以选择在HTTP层上启用TLS
  3. 配置Kibana以加密浏览器和Kibana服务器之间的通信,并通过HTTPS连接到Elasticsearch
  4. 配置其他Elastic产品使用加密通信
1.1 加密集群中节点之间的通信
  1. 生成节点证书【#1.2 生成节点证书】
  2. 启用TLS并制定访问节点证书所需要的信息
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
  1. (可选)如果你用密码保护节点的证书,将密码添加到 Elasticsearch 密钥存储库
  2. 重启Elasticsearch
1.2 加密HTTP客户端通信
  1. 生成HTTP证书【#1.3 生成节点证书】
  2. 启用TLS并制定访问节点证书所需要的信息
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "http.p12"
  1. (可选)如果你用密码保护节点的证书,将密码添加到 Elasticsearch 密钥存储库
  2. 重启Elasticsearch
1.3 生成节点证书
  1. (可选)为 Elasticsearch 集群创建一个证书颁发机构。

./bin/elasticsearch-certutil ca
输出文件是一个PKCS#12密钥存储库,其中包含证书颁发机构的公共证书和用于签署节点证书的私钥。

  1. 为集群中的每个节点生成证书和私钥
    交互形式:
    ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
    命令形式:
    ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 --dns localhost --ip 127.0.0.1,::1 --out config/certs/node-1.p12
    输出是一个包含节点证书、节点密钥和CA证书的PKCS#12密钥存储库。

  2. (可选)生成专门用于加密 HTTP 客户端通信的附加证书。

./bin/elasticsearch-certutil http
命令步骤如下:

## Do you wish to generate a Certificate Signing Request (CSR)? - 是否生成证书签名请求(CSR)?
Generate a CSR? [y/N]N

## Do you have an existing Certificate Authority (CA) key-pair that you wish to use to sign your certificate? -是否有一个现有的证书颁发机构(CA)密钥对,您希望使用它来签署证书?
Use an existing CA? [y/N]y

## What is the path to your CA? - 你的CA路径在哪里?
CA Path: /data/elk/elasticsearch-7.10.2/elastic-stack-ca.p12

## How long should your certificates be valid? - 您的证书应该多长时间有效?
For how long should your certificate be valid? [5y] 3Y

## Do you wish to generate one certificate per node? - 是否希望每个节点生成一个证书?
Generate a certificate per node? [y/N]N

## Which hostnames will be used to connect to your nodes? - 哪些主机名将用于连接到您的节点?
Is this correct [Y/n]Y

## Which IP addresses will be used to connect to your nodes? - 哪些IP地址将用于连接到您的节点?
Is this correct [Y/n]Y

## Other certificate options - 其他证书选项
Do you wish to change any of these options? [y/N]N
输出是一个.zip 文件,包含 Elasticsearch 和 Kibana 各自的一个目录

输出文件elasticsearch-ssl-http.zip

/elasticsearch
|_ README.txt
|_ http.p12
|_ sample-elasticsearch.yml

/kibana
|_ README.txt
|_ elasticsearch-ca.pem
|_ sample-kibana.yml
  1. 将节点证书复制到适当的位置
  • 在每个Elasticsearch节点上的配置目录中创建文件夹certs。如:/home/es/config/certs。
  • 在每个节点上,将创建的证书复制到certs目录(通常是一个.p12文件)
  • 如果生成了HTTP证书,复制http.p12到certs目录
  • 配置其他Elastic产品,将证书复制到相关目录

2 用户认证

安全功能提供了基于角色的访问控制(RBAC)机制,该机制使您可以通过为角色分配特权并将角色分配给用户或组来授权用户。
安全功能还提供了基于属性的访问控制(ABAC)机制,使您可以使用属性来限制对搜索查询和聚合中文档的访问。

role-based access control (RBAC)

  • Secured Resource(访问受限的资源):索引,别名,文档,字段,用户和Elasticsearch群集本身都是受保护对象。
  • Privilege(特权):对受保护的资源执行的一个或多个动作的命名组,如read是索引特权,代表所有启用读取已索引/存储的数据的操作。
  • Permissions(权限):针对受保护资源的一组一个或多个特权,权限可以很容易地用语言来描述。
  • Role(角色):一组命名的权限
  • User(用户):经过身份验证的用户
  • Group(用户组):用户所属的一个或多个组

内置用户

  • 这些内置用户存储在指定的.security索引中,由Elasticsearch管理。
  • elasticsearch-setup-passwords工具是首次设置内置用户密码的最简单方法

基于令牌的身份验证

  • token-service:访问令牌(根据OAuth2规范生成访问令牌和刷新令牌)是短期令牌,默认情况下20分钟后过期。(Authorization: Bearer xxx)
  • api-key-service:API秘钥,默认情况下API密钥不会过期,创建时,可以指定到期时间和权限。(Authorization: ApiKey xxx)

3 相关概念

  • SSL(Secure Socket Layer)/TLS(Transport Layer Security)
  • 数字证书:互联网通讯中标志通讯各方身份信息的一系列数据
  • X.509:是一种数字证书(Public Key Certificates)的格式标准,主要定义了证书中应该包含哪些内容。
    • HTTPS依赖的TLS/SSL证书使用的就是使用的X.509格式。一个X.509 Certificate包含一个Public Key和一个身份信息(a hostname, or an organization, or an individual),它要么是被CA签发的要么是自签发的。
  • CA(Certificate Authority):颁发数字证书的权威机构,承担公钥体系中公钥的合法性检验的责任。
  • 编码格式:用来存储和发送公钥/私钥、证书和其他数据的文件格式;分为DER和PEM
    • DER(Distinguished Encoding Rules):二进制不可读,常用于Windows系统
    • PEM(Privacy-Enhanced Mail):内容是BASE64编码,常用于*NIX系统
  • PKCS(Public Key Cryptography Standards):公钥密码学标准
    • PKCS#12:描述个人信息交换语法标准,通常用来存储Private Keys和Public Key Certificates(例如前面提到的X.509)的文件格式,使用基于密码的对称密钥进行保护。

4 参考文档

安全集群
加密通讯

Elasticsearch安全特性
Dxy1239310216的博客
07-12 722
Elasticsearch作为一款功能强大的搜索引擎,其安全性同样不可忽视。通过提供基于用户名和密码的认证、基于角色的访问控制、数据加密、审计日志以及安全插件等一系列安全特性Elasticsearch为用户提供了全方位的数据安全保障。在未来的使用中,用户应充分利用这些安全特性,确保Elasticsearch集群的安全性和数据的机密性、完整性和可用性。
ElasticSearch安全控制
风雨的博客
10-30 3896
Elasticsearch在没有增加安全策略之前,就像是被人做实验的小白鼠一样随意的访问(当然,这需要一些手段),很多的Elasticsearch在有段时间发生了被删库,加密的事情。 Elasticsearch起初就是为内网设计的,可是还要开放外网访问的Elasticsearch,因为head插件的ip地址暴露,就会非常的不安全,所以需要增加安全策略。 使用Nginx配置转发的方案 这个方案还...
浅谈Elasticsearch安全和权限管理
weixin_59801183的博客
11-28 3604
Elasticsearch 是一个高度可扩展的开源全文搜索和分析引擎,它使得用户可以快速地存储、搜索和分析大量数据。在企业级应用中,保证数据的安全性和权限管理是至关重要的。本文将详细讲解 Elasticsearch 的安全和权限管理功能,包括身份验证、授权、加密和审计。
Elasticsearch安全设置详解:构建企业级数据保护机制
最新发布
gitblog_00504的博客
06-01 441
Elasticsearch安全设置详解:构建企业级数据保护机制 一、安全设置概述 Elasticsearch作为企业级搜索和分析引擎,其安全功能是保护数据资产的关键防线。通过xpack.security命名空间下的配置项,管理员可以实现全方位的安全防护,包括: 身份认证与授权控制 通信加密(SSL/TLS) 文档和字段级别的细粒度访问控制 安全审计日志 多种认证域(Realms)集成 这些配置...
关于elasticsearch的安全设置的一个注意点
坐忘峰
03-15 8481
elasticsearch1.4.3以前想版本,除了有MVEL安全漏洞外,还有Groovy的漏洞,具体可以参照:点击打开链接,这里要说的就是其使用的时候要注意的一个重要配置:         作为分布式服务器,一般部署在内网,以服务的形式提供给应用使用。而elasticsearch默认绑定的IP地址是:0.0.0.0,也就是说如果这个机子有几个网卡,则elasticsearch都可以通过这些IP
Elasticsearch() 安全性
哆啦咪~fo
06-03 877
待续 参考链接https://blog.51cto.com/chenhao6/2113873
Elasticsearch 安全
DerickQin的博客
07-06 367
Elasticsearch安全 Elasticsearch安全Elasticsearch安全1.默认端口修改2.防火墙策略 1.默认端口修改 修改ES常用的默认端口 2.防火墙策略 关于防火墙的配置,可以参考:“防火墙设置”章节的。外部的安全主要是通过相关的方式。 ...
elasticsearch-7.6.1-windows-x86-64和elasticsearch-analysis-ik-7.6.1
05-06
版本 7.6.1 是 Elasticsearch 的一个稳定版本,包含了性能改进、新特性以及一系列的修复。在 Elasticsearch 7.6.1 中,对于 Windows x86-64 平台的支持使得在该平台上部署和运行 Elasticsearch 变得更加便捷,因为该...
elasticsearch-analysis-ik-9.0.0
05-27
plugin-security.policy和plugin-descriptor.properties文件则分别用于定义安全策略和插件的描述信息,这些是插件安装到Elasticsearch中的必要配置文件。最后的config文件夹则可能包含插件的配置文件。 值得注意的...
elasticsearch-analysis-ik-8.17.1.zip
02-26
Elasticsearch是一款基于Lucene构建的开源搜索引擎,其强大的全文检索功能和分布式特性使其在大数据领域备受青睐。Elasticsearch的8.17.1版本是该搜索引擎的一个更新迭代版本,它引入了许多改进和新功能,以提升性能...
elasticsearch-analysis-ik-8.16.2
12-20
Elasticsearch是一个开源的搜索引擎,具有分布式多用户能力,能够基于RESTful web接口进行文档搜索。其核心功能是对海量数据进行近实时搜索。它使用Lucene作为其核心来实现所有索引和搜索功能,但它通过添加JSON支持...
最新版 elasticsearch-analysis-ik-8.6.0.zip
01-31
Elasticsearch Analysis IK 8.6.0 是一个专为 Elasticsearch 设计的中文分词插件,它在处理中文文本时能提供更为精准的分词效果。这个版本号表示它是针对 Elasticsearch 8.6.0 版本进行优化和兼容的,确保与该版本的...
Elasticsearch Security集群安全策略配置
Elastic开源社区
06-15 1957
不同版本对 Security 的支持不同,对于 ES 6.8 及之前版本,需要手动安装 x-pack 1.2 对于ES 7.x ES 的安全策略需要 X-Pack 插件的支持,不过对于7.X以上版本 X-Pack 已经内置,所以不需要额外的操作。可通过以下指令查看当前已安装的插件:对于ES 7.x 的版本,基本安全功能为免费,但是不包括单点登录、LDAP身份认证以及字段和文档级权限管理,参阅:不同环境对集群安全的策略等级要求不同,主要区别在于你是开发环境还是生产集群环境。ES提供了三个不同等级的安全策略:最
ElasticSearch的安全性和权限管理
AI天才研究院
01-21 1035
1.背景介绍 1. 背景介绍 ElasticSearch是一个开源的搜索和分析引擎,用于处理大量数据并提供实时搜索功能。在现代应用中,ElasticSearch广泛应用于日志分析、搜索引擎、实时数据处理等场景。然而,随着ElasticSearch的应用越来越广泛,数据安全和权限管理也成为了关键的问题。 本文将深入探讨ElasticSearch的安全性和权限管理,涵盖其核心概念、算法原理、最佳...
随笔 | 让您操碎心的ElasticSearch,原来还可以这样加固安全
weixin_34159110的博客
03-15 398
2019独角兽企业重金招聘Python工程师标准>>> ...
Elasticsearch安全与权限控制指南
IT成长日记的博客
03-31 642
Elasticsearch维护中,安全管理是保障数据合规性和集群稳定性的关键。本文将详细介绍用户与角色管理、索引/字段级权限控制、HTTPS加密通信、审计日志与合规性检查等核心安全实践,希望可以帮助你构建更安全的Elasticsearch环境。Elasticsearch提供默认用户(如 elastic),并支持基于角色的访问控制(RBAC)。记录关键事件(登录失败、权限拒绝),定期归档分析。结合索引级 + 字段级控制,敏感数据脱敏。通过角色限制用户对特定索引的访问。限制用户可见字段(敏感数据脱敏)
ElasticsearchSecurity API 介绍
Elastic 中国社区官方博客
02-16 770
在我之前的文章 “” ,我展示了如何使用来创建用户及角色来控制访问 Elasticsearch 中的索引。在今天的文章中,我将展示一个使用 Security API 来创建一个用户及角色来访问一个索引中的特定字段。这个功能属于白金版的功能之一。更多关于订阅的信息,请在地址进行查看。在如下的展示中,我将使用 Elastic Stack 8.6.1 来进行展示。
Elasticsearch基本安全加上安全的 HTTPS 流量
Database operation and maintenance
03-23 1544
elasticsearch基本安全加上安全的 HTTPS 流量、elasticsearch-certutil生成证书签名请求 (CSR)、 HTTP 层启用 TLS、Elastic Stack 设置基本安全性、签署中央 CA 的证书
ElasticSearch 实战:安全策略 - 开启密码账号访问
qq_33240556的博客
04-03 1485
要在Elasticsearch集群中开启密码账号访问,以实现更严格的安全控制,可以遵循以下步骤来配置和启用身份验证、授权和账户管理功能。确认Elasticsearch是否已经安装了包含Security模块的X-Pack。如果未安装,需要先安装X-Pack。对于付费订阅用户,这通常在安装Elasticsearch时就已经包含。对于开源用户,可能需要升级到Elasticsearch的付费版本或使用Open Distro for Elasticsearch等替代解决方案。在Elasticsearch的。
Elasticsearch-head连接es提示401
02-19
### 解决Elasticsearch-head连接Elasticsearch集群时遇到的401未授权错误 当 Elasticsearch 启用了 X-Pack 并尝试通过 elasticsearch-head 进行连接时,可能会因为认证机制的存在而导致 401 错误。这通常意味着客户端未能提供有效的凭证来完成身份验证过程。 #### 配置用户名密码认证 为了使 elasticsearch-head 能够成功连接到启用了安全特性Elasticsearch 实例,在浏览器中打开 elasticsearch-head 的界面之后,应该会弹出一个基本的身份验证对话框。此时应当输入具有适当权限的角色对应的用户名和密码[^1]。 对于默认安装来说,可以使用内置超级管理员账户 `elastic` 及其初始密码来进行登录测试;如果是生产环境,则建议创建专门的应用程序专用账号并赋予必要的最小化权限集。 #### 修改elasticsearch.yml启用HTTP Basic Authentication 确保在 Elasticsearch 的配置文件 `elasticsearch.yml` 中设置了如下参数: ```yaml xpack.security.http.ssl.enabled: false ``` 此设置允许 HTTP 基本身份验证而不强制要求 SSL/TLS 加密传输层协议。不过出于安全性考虑,在实际部署环境中还是推荐开启 HTTPS 支持。 另外还需确认已正确指定了监听地址与端口号等基础网络选项,例如: ```yaml network.host: "0.0.0.0" http.port: 9200 ``` #### 更新elasticsearch-head插件中的连接URL 前往 elasticsearch-head 插件目录下的 `_site/js/app.js` 文件内找到用于指定目标 ES 地址的部分,将其修改为包含完整鉴权信息的形式,比如: ```javascript app.config(['settingsProvider', function (settingsProvider) { settingsProvider.set({ host: 'http://username:password@localhost:9200', ... }); }]); ``` 这里的 `username` 和 `password` 应替换为之前提到的有效凭据。 #### 关于跨域资源共享(CORS) 虽然上述措施解决了直接由认证引起的问题,但如果两者运行在同一物理主机的不同进程中,默认情况下仍然可能存在 CORS 方面的影响。因此还需要调整 Elasticsearch 的 CORS 设置以适应开发调试需求: ```yaml http.cors.enabled: true http.cors.allow-origin: "*" ``` 请注意,将 `allow-origin` 设定为通配符仅适用于非正式场合下的快速验证目的,在线服务应限定具体的源站白名单列表[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值