Elasticsearch 5.0 安装 Search Guard 5 插件
一、Search Guard 简介
Search Guard 是 Elasticsearch 的安全插件。它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearch添加审核日志记录和文档/字段级安全性。
Search Guard 所有基本安全功能都是免费的,并且内置在Search Guard中。 Search Guard 支持OpenSSL并与Kibana和logstash配合使用。
基本安全功能包括:
- 通过SSL / TLS进行节点到节点加密
- 通过HTTPS(SSL / TLS)安全REST层
- 灵活的REST层访问控制(基于用户/角色;基于别名,索引和类型)
- 灵活的传输层访问控制(基于用户/角色;基于别名,索引和类型)
- HTTP基本认证
- HTTP代理身份验证
- HTTP SSL/客户端证书身份验证
- X-Forwarded-For(XFF)支持
- 内部认证/授权
- 匿名登录/未认证访问
- 用户模拟
- Tribe 节点支持
二、安装Search Guard插件
对于Search Guard 5 只需要安装一个插件,即 Search Guard 。SSL层与主插件捆绑在一起。
在Elasticsearch的安装目录执行:
bin/elasticsearch-plugin install -b com.floragunn:search-guard-5:5.0.0-9
在安装Search Guard时将看到以下警告消息,对于某些ES版本,您需要通过按“y”主动确认它:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: plugin requires additional permissions @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
* java.lang.RuntimePermission accessClassInPackage.sun.misc
* java.lang.RuntimePermission accessDeclaredMembers
* java.lang.RuntimePermission getClassLoader
* java.lang.RuntimePermission loadLibrary.*
* java.lang.RuntimePermission setContextClassLoader
* java.lang.RuntimePermission shutdownHooks
* java.lang.reflect.ReflectPermission suppressAccessChecks
* java.security.SecurityPermission getProperty.ssl.KeyManagerFactory.algorithm
* java.util.PropertyPermission java.security.krb5.conf write
* java.util.PropertyPermission javax.security.auth.useSubjectCredsOnly write
* javax.security.auth.AuthPermission doAs
* javax.security.auth.AuthPermission modifyPrivateCredentials
* javax.security.auth.kerberos.ServicePermission * accept
See http://docs.oracle.com/javase/8/docs/technotes/guides/security/permissions.html
for descriptions of what these permissions allow and the associated risks.
当看到 Installed search-guard-5 时,说明安装成功,在Elasticsearch的安装目录plugin可以看到 search-guard-5 目录被创建。
三、配置TLS/SSL
1.生成密钥库和信任库
要使SSL正常工作,您必须拥有一个密钥库和一个包含每个节点上所有必需的证书和密钥的信任库。Search Guard 提供了两种方法生成证书,如果了解TLS或者已经有PKI基础架构,可以自己生成所需的证书。
1)TLS生成服务,填写相关信息便可将相关信息发送到个人邮箱中。链接地址为:https://floragunn.com/tls-certificate-generator/
2)PKI 实例脚本,要求必须安装OpenSSL且版本至少为1.0.1k。脚本将生成包含生成的根证书的信任库文件。 信任库文件可以在所有节点上使用。
下载解压5.0.0版本的 search-guard-ssl ,在example-pki-scripts目录中即为相对应的脚本。通过执行 example.sh 将自动生成证书。如果由于任何原因需要重新执行脚本,在同一目录中执行./clean.sh,即可自动删除所有生成的文件。
官方提供的脚本固定CA证书以及节点证书的密码分别为:capass、changeit,个人修改官方脚本将密码改为40位、20位的随机字符串,并将密码写入到Readme.txt中,脚本下载地址:example-pki-scripts.tar.gz
2.复制密钥库和信任库文件
在每个节点上,将keystore.jks和truststore.jks文件放在运行Elasticsearch的用户可读的目录中,这里放在了Elasticsearch的配置文件目录中。并且给予Elasticsearch用户读取文件权限。keystore.jks在每个节点上是特定的。
3、配置插件
停止Elasticsearch节点,并在Elasticsearch的配置文件中添加
searchguard.ssl.transport.keystore_filepath: node-0-keystore.jks
searchguard.ssl.transport.keystore_password: e15fdd1f936e972f59c9
searchguard.ssl.transport.truststore_filepath: truststore.jks
searchguard.ssl.transport.truststore_password: 4461255a948bd9777b44
searchguard.ssl.transport.enforce_hostname_verification: false
推荐每个Elasticsearch节点使用不同的密钥库文件(node-0-keystore.jks)。此时节点之间的流量是TLS加密的。以上密码是由脚本自动生成,务必要修改为自己的密码。
注意:每个节点的密钥库文件不同,密码也不相同,但是信任库文件相同,密码也相同。
4、配置HTTPS
加密通过REST-API的http流量,添加如下配置:
searchguard.ssl.http.enabled: true
searchguard.ssl.http.keystore_filepath: node-0-keystore.jks
searchguard.ssl.http.keystore_password: e15fdd1f936e972f59c9
searchguard.ssl.http.truststore_filepath: truststore.jks
searchguard.ssl.http.truststore_password: 4461255a948bd9777b44
此时Elasticsearch将不再接受http请求。
5、导入 Root CA
为了使您的浏览器信任我们生成的证书,您需要导入 Root CA,并且对于某些浏览器或操作系统,还要信任此证书。双击root-ca.crt即可安装证书。
使用https访问节点如下图所示:
6、客户端身份验证(可选)
HTTPS通常只验证服务器标识,Search-Guard-SSL也提供了仅接受来自可信客户端的HTTPS连接。
在 elasticsearch.yml 配置文件中添加如下配置,开启客户端认证:
searchguard.ssl.http.clientauth_mode: REQUIRE
重新启动节点后,请再次尝试通过浏览器进行连接。你可以看到类似“基于证书的身份验证失败”或者“ERR_CONNECTION_CLOSED”的报错信息。
这意味着SG SSL要求您的浏览器标识自己。由于到目前为止,还没有为此目的安装任何证书,所以SG SSL拒绝连接。
和导入Root CA相同,需要安装让ES节点信任的证书,脚本 example.sh 也为我们生成了此类证书,证书的名称为kirk、spock,使用与节点证书相同的Root CA证书生成,并且生成了不同合适证书提供给不同的浏览器和操作系统。
导入证书后再次访问ES节点,浏览器会询问我们需要选择的证书。
四、配置管理证书
Search Guard的几乎所有配置设置都保存在Elasticsearch本身中,并且可以在运行时使用sgadmin命令行工具进行更改。使用sgadmin工具将配置设置加载到Search Guard索引中。 sgadmin通过客户端SSL证书将其自身标识为SG安全的Elasticsearch集群。称之为管理员证书。
务必将证书的DN配置到 elasticsearch.yml 中
searchguard.authcz.admin_dn:
- CN=sgadmin,OU=client,O=client,L=test,C=DE
可以配置多个管理证书。
sgadmin工具在 $ES_HOME/plugins/search-guard-5/tools 目录,并赋予工具执行权限 chmod +x tools/*.sh ,此时可以在任意节点执行脚本,配置将被推送到节点,并根据分片复制到其他节点。
sgadmin基本参数需要指定key和truststore,以及相应密码和配置文件目录。可以通过 -cn 选项指定集群名称,或者使用 -icl 忽略集群名称。
cd $ES_HOME/plugins/search-guard-5/
tools/sgadmin.sh -ts /etc/elasticsearch/truststore.jks -tspass 4461255a948bd9777b44 -ks sgconfig/sgadmin-keystore.jks -kspass d98a49bf3242b6873377 -cd sgconfig/ -icl -nhnv -h 10.10.51.240
此时访问ES节点是就要求输入账号密码,默认账号密码在 sgconfig/sg_internal_users.yml 中,可以通过工具 tools/hash.sh 设置密码。
更多sgadmin工具命令可以查看:https://github.com/floragunncom/search-guard-docs/blob/master/sgadmin.md
查看客户端身份验证信息,红框中便是证书的DN信息:
至此,已经成功在Elasticsearch5上安装Search Guard 5。
作者:Orgliny
出处:http://www.cnblogs.com/Orgliny
本文采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。
Elasticsearch 5.0 安装 Search Guard 5 插件的更多相关文章
- Elasticsearch 5.0 安装 Search Guard 5 插件 (五)
一.Search Guard 简介 Search Guard 是 Elasticsearch 的安全插件.它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearc ...
- (转) Elasticsearch 5.0 安装 Search Guard 5 插件
一.Search Guard 简介 Search Guard 是 Elasticsearch 的安全插件.它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearc ...
- elasticsearch 6.x 安装search guard
前言 es之前版本一直无用户验证功能,不过官方有提供一x-pack,但是问题是付费.在es的6.3.2版本中,已经集成了x-pack,虽然es团队已经对x-pack开源,但是在该版本中如果需要使用到安 ...
- IDA7.0安装keypatch和findcrypt-yara插件
IDA7.0安装keypatch和findcrypt-yara插件 谢天谢地终于装上了,赶紧把方法写一下.找了半天网上的安装方法又繁琐有坑人,偏偏这个插件利用keystone对版本要求很高. Keyp ...
- Linux下,非Docker启动Elasticsearch 6.3.0,安装ik分词器插件,以及使用Kibana测试Elasticsearch,
Linux下,非Docker启动Elasticsearch 6.3.0 查看java版本,需要1.8版本 java -version yum -y install java 创建用户,因为elasti ...
- elasticsearch6.6.0安装配置及elasticsearch-head插件安装
一.最小化安装centos7.6 cat /etc/redhat-release 二.配置网络,可以上外网 三.安装常用命令工具,修改系统时区,校对系统时间,关闭selinux,关闭firewalld ...
- MyEclipse10.0安装jad反编译插件
1.下载反编译工具jad(下面提供下载) 将下载下来的jadstar158.zip解压缩,将jad.exe文件放入jdk安装目录下 如:C:\Program Files\Java\jdk1.6.0_2 ...
- elasticsearch 2.0+ 安装 Marvel
Marvel 2.0+ Compatible with the latest versions of Elasticsearch and Kibana Step 1: Install Marvel i ...
- elasticsearch安装与使用(5)-- search guard安装与配置
一.安装search guard插件必须要安装两部分: ①search-guard-xx ②search-guard-ssl (XX指的是与elasticsearch引擎对应的版本) github地址 ...
随机推荐
- 一、InnoDB引擎
一.InnoDB的历史 MYSQL的5.1版本的时候还是使用旧的innoDB,当时orale公司推出的新的innoDB引擎, 但是需要以插件的形式编译,叫innoDB plugin : 知道MYSQL ...
- 汇编 XOR运算
XOR运算 按位异或^ 一.按位异或^ 运算符^ 1^1=0;0^0=0; //相同则为0 0^1=1;1^0=1; //不相同为1 1101^0110=1011; // asm_XOR.c ...
- mfc 基类与子类
基类(父类) 派生类(子类) 一.基类(父类) 基类(又称为父类,基类与派生类是相对的关系! 通过继承机制,可以利用已有的数据类型来定义新的数据类型.所定义的新的数据类型不仅拥有新定义的成员,而且还同 ...
- Scala学习(三)----数组相关操作
数组相关操作 摘要: 本篇主要学习如何在Scala中操作数组.Java和C++程序员通常会选用数组或近似的结构(比如数组列表或向量)来收集一组元素.在Scala中,我们的选择更多,不过现在我们先假定不 ...
- 搭建SpringBoot、Jsp支持学习笔记
Spring Boot 添加JSP支持 大体步骤: (1) 创建Maven web project: (2) 在pom.xml文件添加依赖: (3) ...
- LeetCode Container With Most Water (Two Pointers)
题意 Given n non-negative integers a1, a2, ..., an, where each represents a point at coordinate (i, ai ...
- 如何有效的报告bug?
对于比较棘手的bug,反馈务须清晰.详细.精确,我们给出以下6个建议: 1.现场演示:重复bug出现的操作步骤.这个适用于公司内部人员. 2.详细描述:在什么系统使用哪个版本的YoMail,做了什 ...
- 如何安装ipa文件(二)
第一篇文章请看: http://www.cnblogs.com/BK-12345/p/6000124.html 写第二篇的目的是因为iTunes更新了,有一些东西发生了变化,应用没有了,其实还是存在的 ...
- SpringBoot日记——Docker的使用
跟进互联网的浪潮有时候也挺难的,还没学完就出现新技术了…… 今天来说说,如何使用docker吧~ docker的安装配置 Docker是一个容器,我们怎么理解这个概念.我们做windows系统的时候会 ...
- BugkuCTF 文件上传测试
前言 写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理 ...