更新:2016-05-20 09:36

通过向Elastic了解,他们目前开发的5.0版本支持更好的权限定制,粒度达到字段级别。他们预计今年就可以上线,如果你不是有一个旧版本的kibanba非要维护不可,那么可以考虑这个新版本。kibanba5.0 被寄希望是一个革命性的版本,同时logstash、Elasticsearch 都将版本号升级为5.0方便用户在使用ELK架构的时候,容易的选择兼容的版本。

写在前面

好像在github上面有人开发了kibana插件,可以支持登录、权限控制等等,不过我自己对nodejs了解有限(其实就是不喜欢用)。所以我决定用代理方式来控制权限。

kibana和Elasticsearch是通过http协议连接

所以,你只需要让kibana以为你的某个web Server 是Elasticsearch就行了,这个就是改改配置文件搞定。

elasticsearch.url: "http://admin.com"

如果你希望kibana并入你的某个后台权限

假设你的后台访问地址如下:

http://admin.com

在你的Nginx服务器里,将所有发往http://admin.com/app/kibana的请求 转发到kibana的服务器,比如

proxy_pass 192.168.1.12:5601;

这样一来访问kibana的时候,会带上你的后台的Cookie,也就可以使用后台的登录权限了。

kibana访问Elasticsearch的时候,肯定要指定索引

所以,你只需要判断索引的名字是否是这个用户可以查看就行。获取索引名字有点麻烦,kibana一般在请求体的Json中的比如index,docs,_index 等字段放索引名字。

你得分析json,都取出来。有时候它会发多个json,每行一个,你得处理这种情况。

拿到索引后,你可以自己决定,怎么控制权限了。

注意:.kibana 索引和一些插件索引,不应该被权限屏蔽。

怎么做到每个人或每个项目组操作一台独立的kibana的感觉?

  1. 架设多台kibana,分配不同端口就行了
  2. 你可能觉得这样维护有点蛋疼那下面再说怎么处理多用户

kibana将所有的配置、用户数据都放在一个叫做.kibana的索引中

当然,这个名字可以改,但是只能有一个。

如果我能够在kibana访问.kibana的时候,将.kibana改为另一个索引的名字,比如.kibana-1 那么我就可以给所有分组为1的用户,使用一个独立的kibana数据库。

最简单的办法就是找到所有json中的.kibana数据 ,替换成你想要的索引名字,在返回数据的时候,记得再换回来。

漏洞和缺陷

由于Elasticsearch的查询方法非常丰富,所以这种权限体现最多是保证登录安全,索引的权限控制,可能还需要在使用中慢慢完善。

比如,当用户查询 apache-log-* 的时候,你可能可以发现,他没有这个权限,

但是如果他什么索引都不传,在Elasticsearch中并不是搜不到任何东西,它会搜索所有索引。

这种情况下,权限就被绕过。然而kibana会发出许多不带索引的请求,比如获取服务器全局状态等等。

要区分这些请求并不容易。

注意点

1. 路径

kibana 代理的路径在4.2以后,kibana的访问地址变了:原先可能是localhost:5601 现在是localhost:5601/app/kibana,设计者将整个kibana作为一个插件来管理。

2. json

如果你使用php ,json_decode($json,第二个参数)

如果你要改造kibana的查询请求,第二个参数特别重要,因为,如果你将它设置为true的时候,经过decode -> encode 两次转换后,空对象会变成空数组。比如:

{"fields":{}}
//变成
{"fields":[]}

导致语句报错。

怎么给kibana加上权限?的更多相关文章

  1. Kibana访问权限控制

    ELK平台搭建完成后,由于Kibana的服务也是暴露在外网,且默认是没有访问限制的(外部所有人都可以访问到),这明显不是我们想要的,所以我们需要利用Nginx接管所有Kibana请求,通过Nginx配 ...

  2. 为mongodb加上权限

    我们知道mysql在安装的时候需要我们设置一个数据库默认的用户名和密码,mongodb也不例外,不过mongodb是默认的没有设置访问限制的,不需要输入用户名和密码都可以访问的,但是这样会十分的不安全 ...

  3. ELK菜鸟手记 (三) - X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决

    0. 背景 我们在使用ELK进行日志记录的时候,通过网址在Kibana中查看我们的应用程序(eg: Java Web)记录的日志, 但是默认是任何客户端都可以访问Kibana的, 这样就会造成很不安全 ...

  4. X-Pack权限控制之给Kibana加上登录控制以及index_not_found_exception问题解决

    无法查看索引下的日志问题解决 好事多磨,我们还是无法在Kibana下看到数据,究竟是怎么一回事呢? 笔者再次查看了logstash的控制台,又发现了如下错误: logstash outputs ela ...

  5. mongon库加上权限认证后,java程序连接异常

    现象: linux库中mongo库,用超级管理员添加了一个超级管理员,并加了认证. 通过spring等相关的配置文件获取Mongo数据库连接,抛出异常,如下: Caused by: org.sprin ...

  6. 使用nginx 的反向代理 给 kibana加上basic的身份认证

    第一步准备工作 准备用户名密码: 更改host文件 第二步,安装nginx ubuntu安装Nginx之后的文件结构大致为:所有的配置文件都在/etc/nginx下,并且每个虚拟主机已经安排在了/et ...

  7. android权限

    一.WebView 访问internet 的权限: 1.在layout中增加一个WebView 控件: <WebView android:layout_width="match_par ...

  8. MongoDB(四)mongodb设置用户访问权限

    我们知道MySQL在安装的时候需要我们设置一个数据库默认的用户名和密码,mongodb也不例外,不过mongodb是默认的没有设置访问限制的,不需要输入用户名和密码都可以访问的,但是这样会十分的不安全 ...

  9. MongoDB 权限 验证

    在MongoDB中,服务启动默认是没有权限验证的,就安全性方面来说,这肯定是不行的,所以需要加上权限验证. 既然是要进行权限验证,那肯定是得有用户的吧,所以权限验证的第一步就是给MongoDB库添加用 ...

随机推荐

  1. Knowledge Point 20180303 详解main函数

    学习Java的朋友想来都是从HelloWorld学起的,那么想来都对main函数不陌生了,但是main函数究竟是怎么回事呢?main函数中的参数是做什么的呢?main函数为什么能作为程序的入口呢?可不 ...

  2. 在vue-cli + webpack 项目中使用sass

    1.准备工作: 由于npm的服务器在国外,网速慢而且安装容易失败,建议在安装之前,先安装国内的镜像,比如淘宝镜像 npm install -g cnpm --registry=https://regi ...

  3. 557. Reverse Words in a String III (5月25日)

    解答 class Solution { public: string reverseWords(string s) { string temp,result; while(1){ if(s.find( ...

  4. jq ajax 传递数组 后台php 接值处理

    //jq数组 var arr = [1,2,3]; //把数组转换为json ajax 传递参数的时候不能直接传递数组 转换为json 可直接传递 var datas = JSON.stringify ...

  5. 解决 LLVM 错误提示 may only occur zero or one times!

    使用 LLVM 混淆器添加参数进行编译提示如下错误:clang (LLVM option parsing): for the -bcf option: may only occur zero or o ...

  6. 常用的JavaScript设计模式(二)Factory(工厂)模式

    Factory通过提供一个通用的接口来创建对象,同时,我们还可以指定我们想要创建的对象实例的类型. 假设现在有一个汽车工厂VehicleFactory,支持创建Car和Truck类型的对象实例,现在需 ...

  7. thinkphp中的大字母的意思

    ThinkPHP 单字母函数 A() 内部实例化控制器 D() 实例化自定义模型类 M() 实例化一个基础模型类 R() 调用某个控制器的操作方法 L() 启用多语言的情况下,设置和获取当前的语言定义 ...

  8. centos7环境下ELK部署之elasticsearch

    es部署:es只能用普通用户启动 博客园首发,转载请注明出处:https://www.cnblogs.com/tzxxh/p/9435318.html 一.环境准备: 安装jdk1.8.创建普通用户 ...

  9. 最新版的stm32f1xx.h文件中取消了u8, u16, u32的类型定义

    使用芯片stm32f103zet6和stm32l151c8t6,在移植程序时发现,编译器提示u8未定义: 在Keil MDK 开发环境里,st定义无符号32位整形数据有很多种表示方法: 1 unsig ...

  10. Python安装及简介

    Python简介 Python的创始人为吉多·范罗苏姆(Guido van Rossum).1989年的圣诞节期间,吉多·范罗苏姆为了在阿姆斯特丹打发时间,决心开发一个新的脚本解释程序,作为ABC语言 ...