ElasticSearch 集群安全

公号：码农充电站pro

主页：https://codeshellme.github.io

在安装完 ES 后，ES 默认是没有任何安全防护的。

ES 的安全管理主要包括以下内容：

• 身份认证：鉴定访问用户是否合法。
• 用户鉴权：设置用户有哪些访问权限。
• 传输加密：数据在传输的过程中，要加密。
• 日志审计：记录集群操作。
• 等

这里有一些免费的安全方案：

• 设置 Nginx 方向代理。
• 安装免费的安全插件，比如：
  • Search Guard：一个安全和报警的 ES 插件，分收费版和免费版。
  • Readonly REST
• X-Pack 的 Basic 版：可参考这里。

1，身份认证

ES 中提供的认证叫做 Realms，有以下几种方式，可分为两类：

• 内部的：不需要与 ES 外部方通信。
  • file（免费）：用户名和密码保存在 ES 索引中。
  • native（免费）：用户名和密码保存在 ES 索引中。
• 外部的：需要与 ES 外部组件通信。
  • ldap（收费）
  • active_directory（收费）
  • pki（收费）
  • saml（收费）
  • kerberos（收费）

2，用户鉴权

用户鉴权通过定义一个角色，并分配一组权限；然后将角色分配给用户，使得用户拥有这些权限。

ES 中的权限有不同的级别，包括集群级别（30 多种）和索引级别（不到 20 种）。

ES 中提供了很多内置角色（不到 30 种）可供使用。

ES 中提供了很多关于用户与角色的 API：

• 关于用户：
  • Change passwords：修改密码。
  • Create or update users：创建更新用户。
  • Delete users：删除用户。
  • Enable users：打开用户。
  • Disable users：禁止用户。
  • Get users：查看用户信息。
• 关于角色：
  • Create or update roles：创建更新角色。
  • Delete roles：删除角色。
  • Get roles：查看角色信息。

3，启动 ES 安全功能

下面演示如何使用 ES 的安全功能。

启动 ES 并通过 xpack.security.enabled 参数打开安全功能：

bin\elasticsearch -E node.name=node0 -E cluster.name=mycluster -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true

使用 elasticsearch-setup-passwords 命令启用 ES内置用户及初始 6 位密码（需要手动输入，比如是 111111）：

bin\elasticsearch-setup-passwords interactive

该命令会启用下面这些用户：

• elastic：超级用户。
• kibana：用于 ES 与 Kibana 之间的通信。
• kibana_system：用于 ES 与 Kibana 之间的通信。
• apm_system
• logstash_system
• beats_system
• remote_monitoring_user

启用 ES 的安全功能后，访问 ES 就需要输入用户名和密码：

也可以通过 curl 命令（并指定用户）来访问 ES：

curl -u elastic 'localhost:9200'

更多内容可参考这里。

4，启动 Kibana 安全功能

打开 Kibana 的配置文件 kibana.yml，写入下面内容：

elasticsearch.username: "kibana_system"  # 用户名
elasticsearch.password: "111111"         # 密码

然后使用 bin\kibana 命令启动 Kibana。

访问 Kibana 也需要用户和密码（这里使用的是超级用户）：

5，使用 Kibana 创建角色和用户

下面演示如何使用 Kibana 创建角色和用户。登录 Kibana 之后进行如下操作：

点击 Stack Management 后进入下面页面：

5.1，创建角色

点击 Create role 创建角色：

创建角色需要填写如下内容：

• 角色名称
• 角色对哪些索引有权限及索引的权限级别
• 添加一个 Kibana 权限
• 最后创建角色

经过上面的操作，创建的角色名为 test_role，该角色对 test_index 索引有只读权限；如果进行超越范围的操作，将发生错误。

5.2，创建用户

进入到创建用户的界面，点击 Create user 创建用户：

填写用户名和密码，并将角色 test_role 赋予该用户。

5.3，使用用户

使用新创建的用户登录 Kibana：

该用户只对 test_index 索引有只读权限；如果进行超越范围的操作，将发生错误。

6，传输加密

传输加密指的是在数据的传输过程中，对数据进行加密（可防止数据被抓包）。

传输加密分为集群内加密和集群间加密：

• 集群内加密指的是 ES 集群内部各节点之间的数据传输时的加密。
  • 通过 TLS 协议完成。
• 集群间加密指的是外部客户访问 ES 时，数据传输的加密。
  • 通过 HTTPS 协议完成。

更多的内容可参考这里。

6.1，集群内部传输加密

在 ES 中可以使用 TLS 协议对数据进行加密，需要进行以下步骤：

• 创建 CA
• 为 ES 节点创建证书和私钥
• 配置证书

1，创建 CA 证书

使用如下命令创建 CA：

bin\elasticsearch-certutil ca

成功后，可以看到当前文件夹下多了一个文件：

elastic-stack-ca.p12

2，生成证书和私钥

使用如下命令为 ES 中的节点生成证书和私钥

bin\elasticsearch-certutil cert --ca elastic-stack-ca.p12

成功后，可以看到当前文件夹下多了一个文件：

elastic-certificates.p12

3，配置证书

将创建好的证书 elastic-certificates.p12 放在 config/certs 目录下。

4，启动集群

# 启动第一个节点
bin\elasticsearch
-E node.name=node0
-E cluster.name=mycluster
-E path.data=node0_data
-E http.port=9200
-E xpack.security.enabled=true
-E xpack.security.transport.ssl.enabled=true
-E xpack.security.transport.ssl.verification_mode=certificate
-E xpack.security.transport.ssl.keystore.path=certs\elastic-certificates.p12
-E xpack.security.transport.ssl.truststore.path=certs\elastic-certificates.p12

# 启动第二个节点
bin\elasticsearch
-E node.name=node1
-E cluster.name=mycluster
-E path.data=node1_data
-E http.port=9201
-E xpack.security.enabled=true
-E xpack.security.transport.ssl.enabled=true
-E xpack.security.transport.ssl.verification_mode=certificate
-E xpack.security.transport.ssl.keystore.path=certs\elastic-certificates.p12
-E xpack.security.transport.ssl.truststore.path=certs\elastic-certificates.p12

不提供证书的节点将无法加入集群：

bin\elasticsearch
-E node.name=node2
-E cluster.name=mycluster
-E path.data=node2_data
-E http.port=9202
-E xpack.security.enabled=true
-E xpack.security.transport.ssl.enabled=true
-E xpack.security.transport.ssl.verification_mode=certificate
# 加入失败

也可以将配置写在配置文件 elasticsearch.yml 中，如下：

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

6.2，集群外部传输加密

通过配置如下三个参数，使得 ES 支持 HTTPS：

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12

在命令行启动：

bin\elasticsearch
-E node.name=node0
-E cluster.name=mycluster
-E path.data=node0_data
-E http.port=9200
-E xpack.security.enabled=true
-E xpack.security.transport.ssl.enabled=true
-E xpack.security.transport.ssl.verification_mode=certificate
-E xpack.security.transport.ssl.keystore.path=certs\elastic-certificates.p12
-E xpack.security.transport.ssl.truststore.path=certs\elastic-certificates.p12
-E xpack.security.http.ssl.enabled=true
-E xpack.security.http.ssl.keystore.path=certs\elastic-certificates.p12
-E xpack.security.http.ssl.truststore.path=certs\elastic-certificates.p12

启动成功后，可以通过 HTTPS 协议访问 ES：

https://localhost:5601/

6.3，配置 Kibana 链接 ES HTTPS

1，为 Kibana 生成 pem 文件

首先用 openssl 为 kibana 生成 pem：

openssl pkcs12 -in elastic-certificates.p12 -cacerts -nokeys -out elastic-ca.pem

成功后会生成如下文件：

elastic-ca.pem

将该文件放在 config\certs 目录下。

2，配置 kibana.yml

在 Kibana 的配置文件 kibana.yml 中配置如下参数：

elasticsearch.hosts: ["https://localhost:9200"]
elasticsearch.ssl.certificateAuthorities: ["C:\\elasticsearch-7.10.1\\config\\certs\\elastic-ca.pem"]
elasticsearch.ssl.verificationMode: certificate

3，运行 Kibana

bin\kibana

6.4，配置 Kibana 支持 HTTPS

1，为 Kibana 生成 pem

bin/elasticsearch-certutil ca --pem

上面命令执行成功后会生成如下 zip 文件：

elastic-stack-ca.zip

将该文件解压，会有两个文件：

ca.crt
ca.key

将这两个文件放到 Kibana 的配置文件目录 config\certs。

2，配置 kibana.yml

在 Kibana 的配置文件 kibana.yml 中配置如下参数：

server.ssl.enabled: true
server.ssl.certificate: config\\certs\\ca.crt
server.ssl.key: config\\certs\\ca.key

3，运行 Kibana

bin\kibana

启动成功后，可以通过 HTTPS 协议访问 Kibana：

https://localhost:5601/

（本节完。）

---

推荐阅读：

ElasticSearch 搜索模板与建议

ElasticSearch 聚合分析

ElasticSearch 中的 Mapping

ElasticSearch 数据建模

ElasticSearch 分布式集群

---

欢迎关注作者公众号，获取更多技术干货。