Elastic stack7.8.1启用安全认证,启用https,TLS,SSL 安全配置详解
文章目录
- 简介
- 启用Elasticsearch安全特性
- 配置传输层TLS/SSL加密传输
- 设置内置用户密码
- 配置HTTP层TLS/SSL加密传输
- 配置Kibana到Elasticsearch的校验
- 生成PKI客户端证书
- 配置Kibana到Elasticsearch的校验
- 配置Kibana UI的SSL加密传输
简介
对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供了基于X-PACK的安全能力。X-Pack是Elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,可以轻松的启用或者关闭相关功能。开源版本的Elasticsearch拥有基本许可证,拥有X-PACK提供的核心安全功能。基本许可证默认禁用Elasticsearch安全特性,使用xpack.security
相关配置可以实现允许匿名访问、执行消息身份验证、建立文档和字段级别的安全性、使用SSL加密通信、审计等相关功能,所有这些配置都可以在elasticsearch.yml文件中进行配置。本文将会介绍有关配置安全特性、TLS/SSL加密传输和PKI客户端证书的详细步骤:
- 启用Elasticsearch安全特性;
- 配置传输层TLS/SSL加密传输;
- 设置内置用户密码;
- 配置HTTP层TLS/SSL加密传输;
- 配置Kibana到Elasticsearch的校验;
X-Pack提供以下几个方面保护Elasticsearch集群安全的功能:1)用户验证;2)授权和基于角色的访问控制;3)节点/客户端认证和信道加密;4)审计。以上这些都是X-pack的核心功能。
启用Elasticsearch安全特性
首先,需要修改集群中每个节点上的elasticsearch.yml文件以启用安全特性:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
一旦集群启用安全特性,还必须启用TLS/SSL加密传输,否则将会看到如下错误日志:
Transport SSL must be enabled if security is enabled on a [basic] license. Please set [xpack.security.transport.ssl.enabled] to [true] or disable security by setting [xpack.security.enabled] to [false]
配置传输层TLS/SSL加密传输
Elasticsearch附带了一个名为elasticsearch-certutil
的实用程序,可用于生成加密Elasticsearch集群内部通信的自签名证书,证书生成命令如下:
输入密码那一块直接回车,不要设置密码 假如在生成证书的时候设置了密码,会导致无法启动ES
bin/elasticsearch-certutil ca
ENTER ENTER
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
ENTER ENTER ENTER
我们将获得可用于加密通信的TLS/SSL证书elastic-certificates.p12
,将证书复制到config/certs
的目录中,然后在elasticsearch.yml文件配置如下:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
现在重新启动Elasticsearch集群中的所有节点,以使上述更改生效。
设置内置用户密码
如果你得集群之前已经设置了密码 那这里可以跳过,SSL不会对已经设置的密码造成什么影响
因为设置密码的命令将通过不安全的HTTP与集群通信,所以在为HTTP通信启用TLS/SSL之前,需要完成内置用户密码的设置。可以使用以下命令设置内置用户密码:
bin/elasticsearch-setup-passwords interactive
// 或自动生成并设置密码
bin/elasticsearch-setup-passwords auto
Changed password for user apm_system
PASSWORD apm_system = RHAZfygyiDV4IeF7VvgB
// 用于kibana组件获取相关信息用于web展示
Changed password for user kibana
PASSWORD kibana = kCXmcWjxdGyjdhJWQ9jA
// 用于logstash服务获取elasticsearch的监控数据
Changed password for user logstash_system
PASSWORD logstash_system = XDGslllTWzKBneY7LAtZ
// 用于在Elasticsearch中存储监控信息
Changed password for user beats_system
PASSWORD beats_system = VCMmSzm078qWcA9CEgGI
Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = PKb0qzZ4txJWLyE67qeQ
// 超级管理员,拥有所有权限
Changed password for user elastic
PASSWORD elastic = jBvQ9UMngerYnas0Br0s
配置HTTP层TLS/SSL加密传输
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: certs/elastic-certificates.p12
重新启动集群中的所有Elasticsearch节点才能使更改生效。
配置Kibana到Elasticsearch的校验
生成PKI客户端证书
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
ENTER
ENTER
ENTERmv elastic-certificates.p12 client.p12
与之前的密钥分开命名
// Private Key 私钥
openssl pkcs12 -in client.p12 -nocerts -nodes > client.key
// Public Certificate 公共证书
openssl pkcs12 -in client.p12 -clcerts -nokeys > client.cer
// CA Certificate 签署公共证书的CA
openssl pkcs12 -in client.p12 -cacerts -nokeys -chain > client-ca.cer
配置Kibana到Elasticsearch的校验
elasticsearch.url: "https://localhost:9200" #ensure https
xpack.security.enabled: true
elasticsearch.username: "kibana"
elasticsearch.password: "XXXXXX"
elasticsearch.ssl.certificate: config/certs/client.cer
elasticsearch.ssl.key: config/certs/client.key
elasticsearch.ssl.certificateAuthorities: [ "config/certs/client-ca.cer" ]
elasticsearch.ssl.verificationMode: certificate
kibana用户就像一个服务用户,可以在幕后工作,以验证Elasticsearch集群的Kibana应用程序。我们通常不会使用kibana用户直接登录Elasticsearch集群或Kibana UI。
当Elasticsearch还未启用HTTP加密通信前,可以直接使用kibana用户和密码进行身份验证。
在kibana.yml文件中新增如下三个配置,这是启用Elastic报警的必要配置,里面的参数可以随意配置:
# 注意:参数值至少32位,否则启动会报错提示
xpack.encryptedSavedObjects.encryptionKey: encryptedSavedObjects12345678909876543210
xpack.security.encryptionKey: encryptionKeysecurity12345678909876543210
xpack.reporting.encryptionKey: encryptionKeyreporting12345678909876543210
现在可以重新启动Kibana以完成通过HTTPS进行身份验证。
配置Kibana UI的SSL加密传输
为了安全起见,Kibana UI到kibana服务也应该启用SSL加密传输通信。为了简化操作,我们使用与已用于传输通信的相同的证书,配置如下:
server.ssl.enabled: true
server.ssl.certificate: config/certs/client.cer
server.ssl.key: config/certs/client.key
重启kibana服务后,即可通过https://localhost:5601访问Kibana UI进行操作。
配置Logstash到Elasticsearch的TLS加密
output {elasticsearch {cacert => "/data/logstash-7.8.1/config/client-ca.cer"user => 952520296password => 952520296 #之前配置用户名密码时配置的账密ssl => truessl_certificate_verification => falseaction => "index"hosts => "https://192.168.1.1:9200"index => "%{type}-%{+YYYY.MM.dd}"}
至此Elastic stack7.8.1 安全配置 配置完毕
Elastic stack7.8.1启用安全认证,启用https,TLS,SSL 安全配置详解相关推荐
- 【ssl认证、证书】openssl genrsa 命令详解
文章目录 一.openssl genrsa 命令介绍 二.openssl genrsa 命令的语法及选项 三.实例 1.生成512位的 RSA 秘钥,输出到屏幕. 2.生成512位 RSA 私钥,输出 ...
- ospf接口认证配置详解
实验目的:1.掌握ospf接口认证配置方法 实验拓扑: 步骤1:基本配置(接口配置+ospf配置)见http://t.csdn.cn/mugochttp://t.csdn.cn/mugoc步骤2:启用 ...
- gms认证流程_【热点资讯】详解Google GMS认证流程可大大缩短终端手机上市时间...
原标题:[热点资讯]详解Google GMS认证流程可大大缩短终端手机上市时间 继联发科在2017年11月宣布正式进入谷歌的GMS Express项目后,日前紫光展锐也宣布了同样的计划,成为本土第一个 ...
- K8S认证、授权与准入控制(RBAC)详解
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/refe ...
- mongoDB Linux 认证配置、重置密码、远程登录配置详解
一.配置用户 1.启用.关闭认证 vi /etc/mongod.conf//注释这两句 => 关闭认证 #security: # authorization: enabled//打开这两句 =& ...
- 【ssl认证、证书】SSL双向认证java实战、keytool创建证书
文章目录 概述 keytool示例 参考 相关文章: //-----------Java SSL begin---------------------- [ssl认证.证书]SSL双向认证和SSL单向 ...
- 【ssl认证、证书】SSL 证书基本概念、证书格式、openssl和keytool的区别
文章目录 1. keytool VS openssl 2. X.509 VS PKCS 2.1 PKCS 2.2 X.509 2.2.1 证书编码格式 2.2.1.1 DER 证书编码格式二进制 2. ...
- kerberos mysql配置_CDH安装之篇四:启用Kerberos认证
启用Kerberos认证 • 安装Kerberos • 安装配置master KDC/Kerberos Server 注:Kerberos Server可以是任意一 ...
- hue 3.1.2 启用kerberose认证
hue安装与编译 系统环境是Redhat 7.5 基础数据平台是ambari 2.7.4 启用了kerberose认证 1.hue的编译 1.1.下载hue 下载hue 4.0以下的,因为需要pyth ...
最新文章
- 清华大学提出点云Transformer!在3D点云分类、分割上表现优秀,核心代码已开源!...
- 互联网1分钟 |1121
- mysql-3 检索数据(1)
- 得到WebService应用程序的路径
- 【HDU5156】Harry and Christmas tree,两种离线的做法
- Linux基础——怎么样从 MacOS 或 Linux 通过 SSH 远程 Linux
- 网站上点击自定义按钮发起QQ聊天的解决方案
- oracle数据库的监听配置
- 浏览器自定义横向滚动条_自定义滚动条–跨浏览器解决方案
- 判断三条边能否构成三角形 python
- Linux那些事儿之我是U盘(5)外面的世界很精彩
- 干货,QQ音乐歌手列表解密方法!
- 14 面对对象(多态;抽象类;接口)
- CSS3 帧动画(Sprite,直译叫雪碧图)
- 向量的导数运算和向量叉乘以及点乘的导数运算
- 电子商务编程C语言考试,计算机络级计算机的络与电子商务专业《c语言程序设计》试卷.doc...
- 清华学霸组团的工业AIoT创企再获数千万融资:玩家应推动在边缘 AI 芯片上跑算法...
- thinkph5 新增命令/添加命令command
- 华为进入公有云的为与不为
- 十大Wifi芯片原厂