elasticsearch安全认证

最简单的安全认证

参考 https://www.elastic.co/guide/en/elasticsearch/reference/7.17/security-minimal-setup.html

在elasticsearch.yml中开启认证配置

plain 复制代码
xpack.security.enabled: true

为内建用户创建密码

plain 复制代码
./bin/elasticsearch-setup-passwords interactive

基础的安全认证

集群内通过TLS通信。

参考 https://www.elastic.co/guide/en/elasticsearch/reference/7.17/security-basic-setup.html

修改elasticsearch.yml配置文件

plain 复制代码
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

名词解析

User authentication: 用户身份验证

User authorization: 用户授权。

用户认证

参考 https://www.elastic.co/guide/en/elasticsearch/reference/7.17/setting-up-authentication.html

用户认证方案有很多,包括内建账号,服务账号,基于文件的用户认证等,这里介绍基于文件的用户认证。

基于文件的用户认证

参考 https://www.elastic.co/guide/en/elasticsearch/reference/7.17/file-realm.html

把users文件、users_roles文件放在config目录下。

如何产生users文件和users_roles文件?

参考https://www.elastic.co/guide/en/elasticsearch/reference/7.17/users-command.html#_synopsis_11

plain 复制代码
bin/elasticsearch-users
([useradd <username>] [-p <password>] [-r <roles>]) |
([list] <username>) |
([passwd <username>] [-p <password>]) |
([roles <username>] [-a <roles>] [-r <roles>]) |
([userdel <username>])

例如:

plain 复制代码
bin/elasticsearch-users useradd jacknich -p theshining -r network,monitoring

或者:

plain 复制代码
bin/elasticsearch-users useradd jacknich -p theshining -r superuser

有哪些角色参考https://www.elastic.co/guide/en/elasticsearch/reference/7.17/built-in-roles.html

plain 复制代码
superuser角色

超级用户
授予对集群的完全访问权限,包括所有索引和数据。具有超级用户角色的用户还可以管理用户和角色,
并模拟系统中的任何其他用户。由于此角色的许可性质,在将其分配给用户时要格外小心。

常见命令

plain 复制代码
删除用户jacknich:
bin/elasticsearch-users userdel jacknich 
相关推荐
利威尔·2 小时前
常用git命令
大数据·elasticsearch·搜索引擎
MartinYeung53 小时前
[论文学习]SecureGate:通过令牌级门控学习何时安全地揭示PII-深度解析
学习·安全
广州市顺风搬家服务有限公司4 小时前
实验室搬迁科普专业流程防护标准与合规核心要点
网络·其他·安全
Xi-Xu5 小时前
什么时候需要 Multi-agent:不是分工,而是运行边界
人工智能·经验分享·安全
2501_943782357 小时前
【共创季稿事节】密码生成器:如何构建一个安全的随机密码生成工具
android·数据库·安全·鸿蒙·鸿蒙系统
轩渃7 小时前
Claude Fable5回归即翻车:跑分暴跌、安全拦截、账单猫腻,AI模型的信任危机
人工智能·安全·回归
Chockmans8 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
say_fall8 小时前
【Git 精品详解】企业规范:企业级开发模型、Git Flow、发版流程规范、Code Owner 制度、事故应急回滚
大数据·linux·服务器·git·学习·elasticsearch
风控PM说10 小时前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
独守一片天1 天前
HarmonyOS 6.1.0 Call Service 来电识别与安全通信怎么设计?
安全·华为·harmonyos