1.为什么增加安全认证
因为涉及ES的安全性,不增加安全性完全不够会有数据丢失甚至被删库的危险,所有虽然我们大部分运行环境是内网,但是我们还是希望有安全方面的保障。ES账号密码登录等官方是通过x-pack来实现,但是只有30天试用License,然后需要收费,我们采用一些方式来绕开,你懂得!6.8以上似乎基本安全已经放开。
2.当前状态
我们版本是6.5.4,从下图可以看到当前License是Basic
3.实施步骤
x-pack是ES的插件,在modules目录下。
3.1 x-pack-core-6.5.4.jar修改
在es目录下增加两个java类LicenseVerifier和XPackBuild,并将/modules/x-pack-core/x-pack-core-6.5.4.jar拷贝到es目录,目的是修改该jar中license验证类
LicenseVerifier 代码内容:
package org.elasticsearch.license;
import java.nio.*;
import org.elasticsearch.common.bytes.*;
import java.util.*;
import java.security.*;
import org.elasticsearch.common.xcontent.*;
import org.apache.lucene.util.*;
import org.elasticsearch.core.internal.io.*;
import java.io.*;
public class LicenseVerifier
{
public static boolean verifyLicense(final License license, final byte[] encryptedPublicKeyData) {
return true;
}
public static boolean verifyLicense(final License license) {
return true;
}
}
XPackBuild 代码内容:
package org.elasticsearch.xpack.core;
import org.elasticsearch.common.io.*;
import java.net.*;
import org.elasticsearch.common.*;
import java.nio.file.*;
import java.io.*;
import java.util.jar.*;
public class XPackBuild
{
public static final XPackBuild CURRENT;
private String shortHash;
private String date;
@SuppressForbidden(reason = "looks up path of xpack.jar directly")
static Path getElasticsearchCodebase() {
final URL url = XPackBuild.class.getProtectionDomain().getCodeSource().getLocation();
try {
return PathUtils.get(url.toURI());
}
catch (URISyntaxException bogus) {
throw new RuntimeException(bogus);
}
}
XPackBuild(final String shortHash, final String date) {
this.shortHash = shortHash;
this.date = date;
}
public String shortHash() {
return this.shortHash;
}
public String date() {
return this.date;
}
static {
final Path path = getElasticsearchCodebase();
String shortHash = null;
String date = null;
Label_0157: {
shortHash = "Unknown";
date = "Unknown";
}
CURRENT = new XPackBuild(shortHash, date);
}
}
使用javac对两个类进行编译
javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" LicenseVerifier.java
javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" XPackBuild.java
然后会编译后的class生成,替换到x-pack-core-6.5.4.jar中,并更新到集群中各个节点中的/modules/x-pack-core/x-pack-core-6.5.4.jar
3.2 集群间SSL
1)生成CA证书,bin/elasticsearch-certutil ca,将生成文件elastic-stack-ca.p12,避免麻烦生成时一路Enter下去。
2)bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 将生成新文件elastic-certificates.p12。会提示输入证书和密钥密码,避免麻烦直接Enter来密码留空。
3)将elastic-certificates.p12复制到每个节点的/config/certs目录下
mkdir -p config/certs
mv elastic-certificates.p12 config/certs/
4)配置config/elasticsearch.yml
xpack.security.enabled: false
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12
其中xpack.security.transport.ssl开头的配置节点间数据传输的。
5)重启ES集群
3.3 License升级
去官网申请license,官网:https://license.elastic.co/registration,会得到一个json文件,我们修改json里内容
# type由basic修改为platinum,修改为platinum白金
"type":"platinum"
# 过期时间写到2050年
"expiry_date_in_millis": 2524579200999
就修改后的license.json放到某个节点上,使用下面命令导入License,其中IP和端口为随便一个主节点的。
curl -XPUT 'http://192.168.182.123:9200/_xpack/license' -H "Content-Type: application/json" -d @license.json
查看Kibana,发现license已升级
3.4 登录密码设置
各个节点中config/elasticsearch.yml修改xpack.security.enabled修改为true:xpack.security.enabled: true,然后重启各个节点,重启后访问就需要账号密码了。在某一个主节点执行
bin/elasticsearch-setup-passwords interactive
设置内置账号的密码,记住设置的密码。
3.5 Kibana设置
此时Kibana是连不上ES的,修改kibana.yml,增加
elasticsearch.username: "kibana"
elasticsearch.password: "yourpassword"
重启Kibana后,访问需要登录
输入账号密码后,即可访问。
其中Management下的Users和Roles的配置需要elastic用户登录来操作。