• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录
孙龙 程序员
少时总觉为人易,华年方知立业难
博客园    首页    新随笔    联系   管理    订阅  订阅
elasticsearch集群安全策略

1、集群安全策略

1.1版本支持
不同版本对Security 的支持不同,


1.1.1对于ES 6.x或之前版本
对于ES 6.8及之前版本,需要手动安装x-pack


bin/elasticsearch-plugin install x-pack
bin/kibana-plugin install x-pack


1.1.2对于ES 7.x
ES的安全策略需要X-Pack插件的支持,不过对于7.X以上版本X-Pack已经内置,所以不需要额外的操作。可通过以下指令查看当前已安装的插件:
对于ES 7.x的版本,基本安全功能为免费,但是不包括单点登录、LDAP身份认证以及字段和文档级权限管理,参阅:
https://www.elastic.co/cn/pricing/

https://www.elastic.co/cn/subscriptions

.https://www.elastic.colguide/en/kibana/7.6/managing-licenses.html

 

[elastic@elasticl elasticsearch-7.13.0]$ ./bin/elasticsearch-plugin install x-pack
Future versions of Elasticsearch will require Java l1; your Java version from[/usr/local/jdk1.8.0_281/jre] does not meet this requirement. Consider switching to a distribution of Elasticsearch 
with a bundled JDK. If you are already using a distribution witha bundled JDK,ensure the JAVA_HONEenvironment variable is not set.

 开启免费试用

 

 

1.2 Minimal security(最低安全等级)

不同环境对集群安全的策略等级要求不同,主要区别在于你是开发环境还是生产集群环境。ES提供了三个不同等级的安全策略:最低安全等级、基本安全等级、基本安全+HTTPS
1.2.1概念
官方:最小化安全策略等级适用于本地开发,在当前模式下,可以对单节点服务设置密码来提供安全防护功能.但是对于本地集群环境,需要开启TLS,以保证节点之间通信安全。
就实际而言,在处于ES学习或者本地开发模式下,是可以关闭Security功能的,因为如果是以学习为目的,不存在所谓的数据安全问题,因为数据即便被删除也是没关系的。而如果在学习或开发模式下也开启安全策略,意味着你需要频繁的跟密码较劲,实属没必要。
1.2.2执行步骤
1:启用Security
ES7.x版本默认禁用Security,可通过以下配置启用Security
xpack. security.enabled

 -》重启服务

-》kill -9 `cat pid`

2:创建用户密码自动生成密码
./bin/elasticsearch-setup-passwords auto
指定密码
./bin/elasticsearch-setup-passwords interactive

 

3:配置Kibana的账号信息
1.3 Basic security(基本安全等级)

适用范围和概念
最低安全配置仅适用于单节点服务,而不符合集群的最低安全要求。如果集群有多个节点,那么您必须在节点之间配置TLS。如果您不启用TLS,无法启动生产集群。
传输层依赖双向TLS对节点进行加密和认证。正确应用TLS可确保恶意节点无法加入集群并与其他节点交换数据。虽然在 HTTP层实现用户名和密码身份验证对于保护本地集群很有用,但节点之间的通信安全需要TLS。

Transport 协议是Elasticsearch节点用于相互通信的协议的名称。此名称特定于Elasticsearch,用于区分传输端口(默认93o0o)和HTTP端口(默认92o0)。节点使用传输端口相互通信,REST客户端使用HTTP端口与Elasticsearch通信。
执行步骤

1:配置文件elasticsearch.yml
启用security安全认证
#开启security
xpack.security.enabled: true

#配置ssL证书
xpack.security.transport.ssl.enabled: true

 

设置验证模式为: certificate

xpack.security.transport.ssl.verification_mode: certificate

设置证书路径
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

3,设置私钥密码

 

本文来自博客园,作者:孙龙-程序员,转载请注明原文链接:https://www.cnblogs.com/sunlong88/p/17706962.html

posted on 2023-09-16 17:02  孙龙-程序员  阅读(150)  评论(0)    收藏  举报
刷新页面返回顶部
博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3