es 集群安全认证

和月2024-03-20 7:10

参考文档:Configure security for the Elastic Stack | Elasticsearch Guide [7.17] | Elastic

ES敏感信息泄露的原因

  • Elasticsearch在默认安装后,不提供任何形式的安全防护
  • 不合理的配置导致公网可以访问ES集群。比如在elasticsearch.yml文件中,server.host配置为0.0.0.0

免费的方案

集群内部安全通信

ElasticSearch集群内部的数据是通过9300进行传输的,如果不对数据加密,可能会造成数据被抓包,敏感信息泄露。

解决方案: 为节点创建证书

TLS 协议要求Trusted Certificate Authority (CA)签发x.509的证书。证书认证的不同级别:

  • Certificate ------节点加入需要使用相同CA签发的证书
  • Full Verification------节点加入集群需要相同CA签发的证书,还需要验证Host name 或IP地址
  • No Verification------任何节点都可以加入,开发环境中用于诊断目的

1)生成节点证书

首先进入到 es 文件夹

执行命令:

复制代码 
# 为集群创建一个证书颁发机构
bin/elasticsearch-certutil ca

中间会出现两个提示,直接回车即可

继续执行:

复制代码 
# 为集群中的每个节点生成证书和私钥
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

期间也会有几个提示,直接回车

然后将生成的文件移动到 config 下

复制代码 
# 移动到config目录下
mv *.p12 config/

然后 config 文件夹中可以看到多了两个文件

将如上命令生成的两个证书文件拷贝到另外两个节点作为通信依据。

注意换成自己对应的用户名和对应的文件夹

复制代码 
# 拷贝到另外两个节点
scp config/*.p12 [email protected]:/home/heyue/es/elasticsearch-7.17.3/config
scp config/*.p12 [email protected]:/home/heyue/es/elasticsearch-7.17.3/config

2)配置节点间通信

三个ES节点增加如下配置:

复制代码 
## elasticsearch.yml 配置
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
xpack.security.enabled: true # 开启xpack认证机制

配置完成后,记得重启 es 如果后台启动,bin/elasticsearch 后面加上 -d

然后再次访问,发现需要用户密码登录了

3)为内置账号添加密码

ES中内置了几个管理其他集成组件的账号即:apm_system, beats_system, elastic, kibana,

logstash_system, remote_monitoring_user,使用之前,首先需要添加一下密码。

复制代码 
bin/elasticsearch-setup-passwords interactive

这里我都设置了 123456,可以根据自己情况 按需修改

  • interactive:给用户手动设置密码。
  • auto:自动生成密码。

4)测试:

输入密码后可以看到配置完成

5)配置Kibana

开启了安全认证之后,kibana连接es以及访问es都需要认证。

修改kibana.yml

复制代码 
elasticsearch.username: "kibana_system"
elasticsearch.password: "123456"

然后记得重启

复制代码 
# 查找 kibana 进程
netstat -tunlp | grep 5601
#重启,注意进入到 kibana 文件包中
nohup  bin/kibana &

6)配置cerebro

修改配置文件

复制代码 
vim conf/application.conf

hosts = [
  {
    host = "http://192.168.65.174:9200"
    name = "es-cluster"
    auth = {
      username = "elastic"
      password = "123456"
    }
  }
]

配置完成后记得重启

复制代码 
# 查找 kibana 进程
netstat -tunlp | grep 5601
#重启
nohup bin/cerebro > cerebro.log &

每天进步一点点,加油

相关推荐
上线之叁2 小时前
小迪安全110-tp框架,版本缺陷,不安全写法,路由访问,利用链
安全
计算机毕设定制辅导-无忧学长2 小时前
TDengine 权限管理与安全配置实战(二)
大数据·安全·tdengine
2401_897930062 小时前
Kibana 连接 Elasticsearch(8.11.3)教程
大数据·elasticsearch·jenkins
☞无能盖世♛逞何英雄☜3 小时前
Upload-labs靶场通关
安全
zhu12893035564 小时前
网络安全防护与挑战
网络·安全·web安全
神经毒素5 小时前
WEB安全--文件上传漏洞--36C3 CTF includer bypass
linux·安全·web安全
DPLSLAB65 小时前
数字孪生重构安全边界:无人机 “虚拟孪生体“ 的预演革命 —— 北京智慧云测构建全要素仿真体系
安全·重构·无人机
蒜白7 小时前
28--当路由器开始“宫斗“:设备控制面安全配置全解
安全·网络工程师·路由·ospf·bgp
扣脚大汉在网络7 小时前
云原生安全渗透篇
安全·云原生·dubbo
vortex59 小时前
Windows 权限配置文件解析与安全分析(GPP,GPO,LSA)
windows·安全·渗透测试
热门推荐
01汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量02我决定放弃搞 Java 了03DeepSeek各版本说明与优缺点分析04第8章:系统质量属性与架构评估05RAG 实践- Ollama+RagFlow 部署本地知识库06如何在WPS和Word/Excel中直接使用DeepSeek功能07C++11可变参数模板单例模式08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑10分享 3 款基于 .NET 开源且免费的远程桌面工具