Elasticsearch 单节点安全配置与用户认证

Elasticsearch 单节点安全配置与用户认证

安全扫描时发现了一个高危漏洞：Elasticsearch 未授权访问 。在使用 Elasticsearch 构建搜索引擎或处理大规模数据时，需要启用基本的安全功能来防止未经授权的访问。本文将通过简单的配置步骤，为单节点 Elasticsearch 实现最基本的安全功能，包括启用 Elasticsearch 自带的安全功能和配置传输层 SSL，以确保数据传输的加密和访问权限的严格管理。 （elaticsearch版本7.9.2）

---

修改配置文件

编辑单节点的 elasticsearch.yml 文件，确保包含以下内容：

# 启用 Elasticsearch 的安全功能
xpack.security.enabled: true

# 启用传输层 SSL
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required

# 指定证书路径（使用默认生成的 P12 文件）
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

---

生成证书

在 Elasticsearch 安装目录中，使用 elasticsearch-certutil 工具生成证书

生成 CA 文件

cd /bin
./elasticsearch-certutil ca

# (设置证书密码)可以直接回车选择不设置密码
Please enter the desired output file [elastic-stack-ca.p12]: 
Enter password for elastic-stack-ca.p12 :

• 输出文件：elastic-stack-ca.p12

• 选择密码（可留空）

  

生成节点证书

cd /bin
./elasticsearch-certutil cert --ca elastic-stack-ca.p12

# (设置证书密码)可以直接回车选择不设置密码
Enter password for CA (elastic-stack-ca.p12) : 
Please enter the desired output file [elastic-certificates.p12]: 
Enter password for elastic-certificates.p12 : 

• 输出文件：elastic-certificates.p12

• 可选择为证书设置密码

  

将证书复制到配置目录

将生成的 elastic-certificates.p12 文件移动到 Elasticsearch 的配置目录（通常是 $ES_HOME/config）下：

mv elastic-certificates.p12 $ES_HOME/config
# 赋权为es用户权限
chown es:es elastic-certificates.p12

​

---

（可选）存储证书密码

如果生成证书时设置了密码，需要将密码存储到 Elasticsearch 密钥库中：

./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

按照提示输入密码

---

启动 Elasticsearch

配置完成后，切换为 es 用户启动 Elasticsearch 或重启ES服务：

./elasticsearch

如果一切正常，日志中应显示以下内容：

[2024-12-03T14:27:33,401][INFO ][o.e.x.s.s.SecurityStatusChangeListener] [es-xcu-node] Active license is now [BASIC]; Security is enabled

---

验证安全配置

设置用户密码

默认情况下，Elasticsearch 启用了几个内置用户（例如 elastic）。运行以下命令设置密码：

cd /bin
./elasticsearch-setup-passwords interactive

按提示为用户设置密码，特别是 elastic 用户。

访问 REST 接口

使用 curl 或其他工具测试：

# 未带认证信息访问会提示报错
curl http://localhost:9200
# 提示 401 错误，表明未授权

# 带认证信息的请求
curl -u elastic:设置的密码 http://localhost:9200

如果返回正常的 Elasticsearch 信息，则配置成功。

浏览器访问

---

Spring Boot 项目中配置 Elasticsearch 连接账户密码

1. 引入依赖

在 pom.xml 中添加 Elasticsearch 客户端依赖：

<dependency>
    <groupId>org.elasticsearch.client</groupId>
    <artifactId>elasticsearch-rest-high-level-client</artifactId>
    <version>7.9.2</version>
</dependency>

2. 配置类

在 Spring Boot 项目中，通过 Java 配置类创建 RestHighLevelClient Bean：

import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.nio.client.HttpAsyncClientBuilder;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.nio.client.HttpAsyncClients;
import org.apache.http.nio.client.HttpAsyncClientBuilder;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.elasticsearch.client.RestClient;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.client.RestHighLevelClient;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ElasticsearchConfig {

    @Value("${elasticsearch.host}")
    private String host;

    @Value("${elasticsearch.port}")
    private int port;

    @Value("${elasticsearch.username}")
    private String username;

    @Value("${elasticsearch.password}")
    private String password;

    @Bean
    public RestHighLevelClient restHighLevelClient() {
        // 配置用户名和密码
        BasicCredentialsProvider credentialsProvider = new BasicCredentialsProvider();
        credentialsProvider.setCredentials(
                AuthScope.ANY,
                new UsernamePasswordCredentials(username, password)
        );

        // 构建 RestClient
        RestClientBuilder restClientBuilder = RestClient.builder(
                new HttpHost(host, port)
        ).setHttpClientConfigCallback(httpClientBuilder -> 
                httpClientBuilder.setDefaultCredentialsProvider(credentialsProvider)
        );

        return new RestHighLevelClient(restClientBuilder);
    }
}

3. 配置文件

在 application.yml 或 application.properties 中添加 Elasticsearch 的相关配置：

elasticsearch:
  host: localhost
  port: 9200
  username: elastic
  password: elasticPWD

4. 使用示例

在需要使用 RestHighLevelClient 的地方直接注入并使用：

import org.elasticsearch.client.RequestOptions;
import org.elasticsearch.client.RestHighLevelClient;
import org.elasticsearch.client.core.MainResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class ElasticsearchService {

    @Autowired
    private RestHighLevelClient restHighLevelClient;

    public String getClusterInfo() {
        try {
            MainResponse response = restHighLevelClient.info(RequestOptions.DEFAULT);
            return response.getClusterName().toString();
        } catch (Exception e) {
            e.printStackTrace();
            return "Error fetching cluster info";
        }
    }
}

5. 启动项目并验证

启动项目后，调用 ElasticsearchService 中的方法，验证是否成功连接到 Elasticsearch