Elasticsearch及ELK使用(三):使用search-guard加固安全为https访问

已于 2025-01-02 15:52:55 修改
阅读量1.4k 收藏 4
点赞数
分类专栏: ELK_elastic 文章标签: elasticsearch
于 2020-06-21 22:48:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyplanke/article/details/106892352
版权
该博客介绍了如何在Linux环境下为Elasticsearch 6.8.3安装Search-Guard插件以增强安全性,实现HTTPS访问。通过停服、安装插件、配置用户权限、同步修改Kibana和Logstash配置,确保ES集群在添加认证后的正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、背景

二、环境(操作系统为Linux)

三、安装配置search-guard

四、同步修改Kibana配置

五、同步修改logstash配置

一、背景

    由于elasticsearch(简称ES)的HTTP访问,默认不需要密码。意味着谁都可以访问,谁都可以修改,这样非常不安全。
    因此需要增加一些安全机制。 对于ES 1.x的低版本可以使用http.basic, 但对于ES 2.x及以上,则应该使用search-guard。它作为ES的插件。

二、环境(操作系统为Linux)

    1、已经安装了logstash 6.8.3,接收filebeat的数据,并将数据转给ES。
    2、已经安装了 ES 6.8.3 并进行了配置,可以正常启动和Web访问(无需密码)。
    3、已经安装了 kibana 6.8.3  并进行了配置,可以正常启动使用。 kibana会访问ES。

    不同的ES版本需要使用不同search-guard版本的插件,两者版本对应关系及下载链接:search-guard-versions

    因此版本:ES 6.8.3 版本,  对应的 search-guard为:25.5。 

三、安装search-guard

   1、在linux上下载介质。 下载后无需解压。

wget https://releases.floragunn.com/search-guard-6/6.8.3-25.5/search-guard-6-6.8.3-25.5.zip

   2、停止ES运行。

   3、使用ES已有的插件工具,安装命令如下。会自动在ES的plugins目录下创建search-guard文件。

./elasticsearch-6.8.3/bin/elasticsearch-plugin install -b file:///home/zyplanke/es/search-guard-6-6.8.3-25.5.zip

   4、启用插件。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行:

bash install_demo_configuration.sh      (按提示,输入三次Y)

     以上执行后,会自动给elasticsearch-6.8.3/config/elasticsearch.yml文件后面添加以下内容:

searchguard.ssl.transport.pemcert_filepath: esnode.pem
searchguard.ssl.transport.pemkey_filepath: esnode-key.pem
searchguard.ssl.transport.pemtrustedcas_filepath: root-ca.pem
searchguard.ssl.transport.enforce_hostname_verification: false
searchguard.ssl.http.enabled: true
searchguard.ssl.http.pemcert_filepath: esnode.pem
searchguard.ssl.http.pemkey_filepath: esnode-key.pem
searchguard.ssl.http.pemtrustedcas_filepath: root-ca.pem
searchguard.allow_unsafe_democertificates: true
searchguard.allow_default_init_sgindex: true
searchguard.authcz.admin_dn:
  - CN=kirk,OU=client,O=client,L=test, C=de

searchguard.audit.type: internal_elasticsearch
searchguard.enable_snapshot_restore_privilege: true
searchguard.check_snapshot_restore_write_privileges: true
searchguard.restapi.roles_enabled: ["sg_all_access"]
cluster.routing.allocation.disk.threshold_enabled: false
discovery.zen.minimum_master_nodes: 1
node.max_local_storage_nodes: 3
xpack.security.enabled: false

   5、重启ES,使用https访问。 https://IP:9200  

        会提示输入用户密码,说明插件已经生效。(默认管理员用户为admin;密码为admin)

   6、修改admin用户的密码。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行:

bash hash.sh -p <新密码明文>

    7、将得到的新密码密文串, 放入elasticsearch-6.8.3/plugins/search-guard-6/sgconfig/sg_internal_users.yml文件,修改文件admin用户下的hash值(使用刚才得到的新密码密文串)。 (建议同时把readonly设置为false,允许在kibana中修改admin的密码)

admin:
  readonly: false
  hash: $2y$12$/iFel04G0O.0YmK.f31vhuwJZJ3xx9Fv164EveHVv73a8T2XnhGAC
  roles:
    - admin
  attributes:
    #no dots allowed in attribute names
    attribute1: value1
    attribute2: value2
    attribute3: value3

(以下内容省略)

      注意:这个文件除了admin,还有其他用户,例如kibanaserver用户。

  8、初始化Search-Guard。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行:

bash sgadmin_demo.sh    

(如果在ES已运行情况下,仍报“ERR: Seems there is no Elasticsearch running on localhost:9300”,有可能是ES监听的IP不对,建议ES监听host的IP配置为0.0.0.0)

  注:可以编辑sgadmin_demo.sh文件中的内容,在命令后面增加参数:例如-h XX.XX.XX.XX -p 123456 分别指定ES服务所在的IP地址和端口。

  9、不用重启ES,使用浏览器登录ES,可发现新密码已经生效。

四、同步修改Kibana配置

    1、由于kibana需要连接ES,当ES增加了search-guard插件后,kibana也需要同步修改。
    2、编辑kibana目录下的kibana.yml文件, 修改配置如下:

elasticsearch.hosts: ["https://IP:9200"]
elasticsearch.username: "kibanaserver"
elasticsearch.password: "kibanaserver"
elasticsearch.ssl.verificationMode: none
elasticsearch.requestHeadersWhitelist: [ "authorization","sgtenant" ]

    3、然后重启kibana,在kibana Web页面中,使用admin用户密码登录。 可成功登录。

五、同步修改logstash配置

  修改logstash配置logstash-sample.conf文件。参考格式如下

output {
    elasticsearch {
        hosts => ["https://IP:9200"]
        user => "admin"
        password => "password"
        ssl => false
        ssl_certificate_verification => false
        index => "nginx-%{+YYYY_MM}"
        codec => json
  }

      主要关注:hosts、user、password、ssl、ssl_certificate_verification的配置,其他配置结合自己的环境确定。

监控日志loging elastIcsearch 安全()
鱼的博客
08-01 431
一、ElasticSearch未授权访问风险 1、ElasticSearch漏洞描述 默认情况下ElasticSearch如果开放了外网访问,用户是可以通过API直接操作ElasticSearch里的数据,甚至删除所有数据,这个漏洞风险极大。 可直接访问的API如下: http://x.x.x.x:9200/_cat/indices/ http://x.x.x.x :9200/_plugin/he...
springboot使用ssl连接elasticsearch
qq_27275851的博客
01-21 860
网上百度无结果,查看了部分结果发现 RestHighLevelClient 使用的SSLContext,且默认使用的系统默认证书 ,将自己的证书导入 SSLContext,封装到RestHighLevelClient即可。
Elasticsearch权限监控——search-guard介绍
eff666的博客
10-24 9598
1、概述 search-guardElasticsearch的一个安全权限plugin,特性包括: 权限控制粒度可以到indices,types,甚至可以到过滤field层次。同时也可以限制用户行为CRUD, admin权限等。search-guard可以实现用户访问es中日志需要登陆授权,不同用户访问不同索引,不授权的索引无法查看,分组控制不同user查看各自的业务。search-guard
Elasticsearch安全加固指南:启用登录认证与SSL加密
最新发布
IT成长日记的博客
04-01 905
正常应返回包含"tagline" : "You Know, for Search"的JSON。在之前文章中我们介绍了Elasticsearch安全与权限控制,本篇文章我们将详细介绍。
Search-Guard安装详细教程
11-23
Search-GuardElasticsearch的一个免费安全插件,它提供身份验证和授权 ,这里上传的是居于elasticsearch2.3的安装详细教程,包括java中如何连接都有完整的例子,网上很多都不完整,这是作者踩过了无数的坑后整理出来的,希望对大家有帮助。
es基于search-guard插件实现加密认证
菜鸟运维升级之路
11-04 1182
在实际生产环境中,中间件必须做到加密认证,因此本篇文章主要讲解以search-guard插件的方式实现es集群加密认证本篇文章主要以search-guard插件的方式来实现es集群的加密认证,包含了创建认证证书、创建新用户、修改密码等操作,还可以给不同的用户赋予不同的权限及设置不同的角色role,此处就不再过多讲解,后期会再新增一个基于x-pack加密认证。这两种方法就可以完全实现生产环境的应用。
search-guard
qq_18746961的博客
03-23 3760
search-guard elasticsearch
search-guardElasticsearch 2.3 上的运用
weixin_30492601的博客
03-08 194
uni3orns · 2016/06/23 11:09Author:uni3orns参考内容:kibana.logstash.es/content/ela…groups.google.com/forum/#!for…github.com/floragunnco…此文章基于以下软件版本,不同版本可能略有差异:elasticsearch 2.3.3search-guard 2.3.3 RC10x00 ...
es安全认证-search-guard
weixin_42247563的博客
02-26 3626
REST级别的典型HTTP Basic标头如下所示: Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l Basic之后的部分是Base64的表示 Aladdin:OpenSesame 使用传输客户端时,您需要将它们添加到ThreadContext标头,而不是将基本身份验证凭据添加到HTTP请求: TransportClient client = ... client.threadPool().getThreadContext().putHe...
Ubuntu Noble系统安全加固:网络攻击防御的终极武器
![ubuntu noble]...Ubuntu Noble集成了最前沿的安全技术,包括先进的访问控制、加密工具以及完善的安全审计功能。这些特性提供
Linux Mint 22系统安全加固
[Linux Mint 22系统安全加固](https://www.juminfo.com/data/upload/image/201611/b78f7b75c7c814bdc106c08f6c993ed6.png) # 1. Linux Mint 22系统概述与安全需求 Linux Mint 22是一个以用户体验为驱动的桌面Linux...
es5.6.4添加search-guard插件
04-20
es5.6.4添加search-guard插件教程,es5.6.4添加search-guard插件教程
【IPguard大型企业扩展】:架构设计与部署案例的深入剖析
本文首先介绍IPguard的基本概念及其在市场需求下的背景,详细阐述了IPguard的系统架构设计、原则及实践应用,包括核心组件分析、功能模块划分、架构设计的可扩展性、安全性、可维护性原则,以及高可用性和数据一致性...
嵌入式系统安全防御指南:在Keil MDK中构建安全堡垒
![嵌入式系统安全防御指南:在Keil MDK中构建安全堡垒]... # 摘要 随着物联网技术的快速发展,嵌入式系统的安全问题日益成为研究和应用的焦点。本文
ElasticSearch——安全 Search Guard
世界中心的专栏
02-25 6397
安全——免费插件 Search Guard Search Guard 简介 Search Guard是一个Elasticsearch的AAA plugin,特性包括: 权限控制粒度可以到indices, types,甚至可以到过滤field层次。也可以限制用户行为,read, write, admin; 提供多种HTTP认证方式,包括Basic, Proxy header, SPNEGO/
Search Guard整合ES做安全验证
weixin_44094720的博客
11-26 1582
Search Guard整合ES做安全验证 概述 安装程序 安装包及版本 elasticsearch-6.6.2.tar.gz kibana-6.6.2.tar.gz logstash-6.6.2.tar.gz search-guard-6-6.6.2-25.5.zip search-guard-kibana-plugin-6-6.6.2-19.0.zip 下载地址(Search Guard & kibana plugin) https://docs.search-guard.com/latest
ElasticSearch使用SearchGuard插件
weixin_33716557的博客
01-05 346
title: ElasticSearch使用SearchGuard插件 tags: searchguard es elk shield categories: 工作日志 date: 2017-02-25 18:18:55 背景 关于最近一段时间es的勒索新闻给广大开源组件使用者带来一丝不安。全球 500 亿条数据被 Elasticsearch 勒索者删除 基于这种情况,阿里云强制阿里云用...
ElasticSearch7.10配置Search-Guard
Choleen的博客
06-27 1356
ElasticSearch7.10配置Search-Guard 1.下载elasticsearch7.10 2. 修改系统属性 $ vim /etc/security/limits.conf * soft nofile 655360 * hard nofile 655360 * soft nproc 65536 * hard nproc 65536 $ vim /etc/sysctl.conf vm.max_map_count=262144 3. 增加es组和es用户 3.1 创建 $ grou
Elasticsearch 免费认证插件Search-guard的部署安装及策略配置
热门推荐
很多时候,你缺少的不是知识而是热情
09-14 1万+
背景: 当前es正在被各大互联网公司大量的使用,但目前安全方面还没有一个很成熟的方案,大部门都没有做安全认证或基于自身场景自己开发,没有一个好的开源方案 es官方推出了shield认证,试用了一番,很是方便,功能强大,文档也较全面,但最大的问题是收费的,我相信中国很多公司都不愿去花钱使用,所以随后在github 中找到了search-guard项目,接下来我们一起来了解并部署此项目到我们
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值