操作目的

避免下载过程中被人拦截破坏文件，甚至注入恶意代码。

检查方法

#ls lib/ | grep -P 'elasticsearch-\d\.\d\.\d\.jar'

加固方法

正规渠道下载 Elasticsearch，首选官方网站，下载完成，记得要验证下载文件的 sha1值和官网下载的提供的sha1值进行对比

记录

备注

https://www.elastic.co/downloads

操作目的

及时安装安全漏洞的补丁

检查方法

#ls lib/ | grep -P 'elasticsearch-\d\.\d\.\d\.jar'

加固方法

关注 Elastic 网站，及时更新升级 Elasticsearch 的最新版本。Elasticsearch 每次版本发布都会优化和改进一部分功能，尤其是安全漏洞的补丁，仔细阅读 Elasticsearch 的更新记录，Elasticsearch 的版本遵照 语义化版本 ，所以小版本间应该是能够无缝升级的，建议及时本地测试和线上更新，升级前，记得 snapshot 做好备份。

记录

备注

https://www.elastic.co/downloads

操作目的

修改默认的 Elasticsearch 集群名称

检查方法

curl 'localhost:9200/_cat/health?v'

加固方法

Elasticsearch 默认的集群名称是 elasticsearch，请在生产环境上一定要修改成其他的名称，并且不同的环境和不同的集群要保证不相同，监控集群节点情况，如果有未知节点加入，一定要及时预警。

多台机器

/config/elasticsearch.yml 文件修改cluster.name设置统一的集群名如cluster.name: win-es-001

node.name 设置当前Node名称 例如：node.name: "win-da-013"

记录

备注

操作目的

不要暴露 Elasticsearch 在公网上

检查方法

查看/config /elasticsearch.yml配置文件http.port transport.tcp.port 参数配置

加固方法

Elasticsearch 默认端口是9200，绑定的是本机127.0.0.1的这个 ip，这个默认参数其实很安全，但是有很多人想要绑定其他的 lan 口或者公网的 ip，可以修改相应参数，如果确实需要将 Elasticsearch 暴露在公网环境，请修改特定的端口绑定IP,不要直接修改参数： network.host，而是要分别修改：http.port 来绑定 HTTP 协议9200 端口的 IP（RESTful 接口调用），修改：transport.tcp.port 对应的 TCP 9300 端口的 IP（集群内通信），如果你不需要 http 端口，你干脆禁用掉，另外还需要在 Elasticsearch 之上加上成熟的安全防护措施，在这里提供几种方案：

1.9200的 HTTP 接口之上加上 Nginx 来提供 Http Basic-Auth 的基本的身份认证，辅助 SSL 证书进行传输层的加密，Nginx 进一步限制可接受 Verb 请求类型及可被操作的索引前缀。

2.使用 Elastic 的 X-Pack 插件，同样提供了 Http Basic-Auth 和 SSL 传输层的加密，X-Pack 还能提供内外 Elasticsearch 集群节点间的流量加密，避免旁路攻击。

记录

备注

操作目的

禁用批量删除索引

检查方法

查看/config /elasticsearch.yml配置文件action.destructive_requires_name 参数配置

加固方法

Elasticsearch 支持通过_all（全部）和通配符（*）来批量删除索引，在生产环境，有点危险，你可以通过设置： action.destructive_requires_name: true 来禁用它。

记录

备注

操作目的

禁用动态脚本

检查方法

查看/config /elasticsearch.yml配置文件script.inline  script.indexed参数是否为false

加固方法

如果不需要使用脚本禁用此功能，（Elasticsearch 在1.2.x 以后已经默认禁用了），

script.inline: false

script.indexed: false

如果需要使用动态脚本，比如 Groovy，它不是沙盒机制的脚本引擎，启用 inline 或 store 类型的groovy 有安全风险，请限制脚本的接触方，比如通过模板的方式来限制脚本的调用，只需要执行特定预先定义好的脚本，对调用参数进行过滤和参数值的检测，做好验证，同时各种日志都必须要保留好，方便进行日志分析，异常的调用和请求一定要有发现和预警机制。

Elasticsearch 默认启用了  Java Security Manager ，需要正确配置其白名单。

使用 Groovy 或者JavaScript 等脚本的用户，尽快迁移到 Painless 脚本，Painless 更快更安全。

记录

备注

操作目的

检查方法

加固方法

首先，请开启防火墙，请设置防火墙规则，只开启必备的端口，完成之后，使用扫描工具扫描服务器，检查端口开发情况；

如果可能，不要用密码的方法来远程登录服务器，使用公私钥的方式来 ssh 登录服务器，如果只能使用密码，请妥善保管好你的用户名和密码，禁用 root 用户，不用使用弱密码。

关注 Java 最新的漏洞，使用安全的 JVM 运行时。

服务器及时更新最新的软件，使用安全的 repo 软件源，绑定软件源的 host和 ip，避免 dns 污染造成的攻击，关注服务器软件漏洞，及时打上补丁。

收集系统日志和安装相应的入侵检测软件，及时发现服务器是否有异常行为。

记录

备注

操作目的

禁止使用root身份运行

检查方法

# ps -ef |grep elasticsearch

加固方法

不要以 root 身份来运行 Elasticsearch，另外，要不和其他的服务共用相同的用户，然后还要保证该用户的权限要最小化。

sudo -u es-user ES_JAVA_OPT=”-Xms1024 -Xmx1024m” /opt/elasticsearch/bin/elasticsearc

记录

备注

操作目的

权限最小化

检查方法

加固方法

请确保 Elasticsearch 的目录分配了合理的读写权限，避免使用共享文件系统，分配权限低的用户elasticsearch，确保只有 elasticsearch 的启动用户才能访问，同理，日志目录也一样需要正确配置，避免泄露敏感信息。

记录

备注

操作目的

定期对 Elasticsearch 进行备份

检查方法

加固方法

使用 Elasticsearch 提供的备份还原机制，定期对 Elasticsearch 的数据进行快照备份，以备不时之需。

1 在浏览器中运行http://ipaddress:9200/_flush，这样确保索引数据能保存到硬盘中

2 原数据的备份主要是elasticsearch数据目录下的nodes目录的备份，nodes目录为索引数据目录

记录

备注

操作目的

监控和预警

检查方法

加固方法

收集各种日志和系统监控信息，及时主动掌握服务健康和资源使用情况，发现异常情况要及时处理，这里提供一些方案:

1 使用开源的 Elastic Stack 收集这些日志，可以使用 Filebeat 收集日志，Metricbeat收集系统监控信息，存进 Elasticsearch，一旦发现异常的波动，使用 Watcher 来进行预警，通过邮件或者 webhook 调用短信、微信或者电话。

2 使用其他厂商的安全监控产品。

3 使用托管的 Elasticsearch 云的产品，如 Elastic Cloud等等。

记录

备注