Elasticsearch 集群安全认证(6.5 6.8 7.9)(x-pack)

1.为什么增加安全认证

因为涉及ES的安全性,不增加安全性完全不够会有数据丢失甚至被删库的危险,所有虽然我们大部分运行环境是内网,但是我们还是希望有安全方面的保障。ES账号密码登录等官方是通过x-pack来实现,但是只有30天试用License,然后需要收费,我们采用一些方式来绕开,你懂得!6.8以上似乎基本安全已经放开。

2.当前状态

我们版本是6.5.4,从下图可以看到当前License是Basic

升级前License

3.实施步骤

x-pack是ES的插件,在modules目录下。

3.1 x-pack-core-6.5.4.jar修改

在es目录下增加两个java类LicenseVerifier和XPackBuild,并将/modules/x-pack-core/x-pack-core-6.5.4.jar拷贝到es目录,目的是修改该jar中license验证类

LicenseVerifier 代码内容:

package org.elasticsearch.license;

import java.nio.*;

import org.elasticsearch.common.bytes.*;

import java.util.*;

import java.security.*;

import org.elasticsearch.common.xcontent.*;

import org.apache.lucene.util.*;

import org.elasticsearch.core.internal.io.*;

import java.io.*;

public class LicenseVerifier
{
    public static boolean verifyLicense(final License license, final byte[] encryptedPublicKeyData) {
        return true;
    }

    public static boolean verifyLicense(final License license) {
        return true;
    }
}

XPackBuild 代码内容:

package org.elasticsearch.xpack.core;
 
import org.elasticsearch.common.io.*;
import java.net.*;
import org.elasticsearch.common.*;
import java.nio.file.*;
import java.io.*;
import java.util.jar.*;
 
public class XPackBuild
{
    public static final XPackBuild CURRENT;
    private String shortHash;
    private String date;
 
    @SuppressForbidden(reason = "looks up path of xpack.jar directly")
    static Path getElasticsearchCodebase() {
        final URL url = XPackBuild.class.getProtectionDomain().getCodeSource().getLocation();
        try {
            return PathUtils.get(url.toURI());
        }
        catch (URISyntaxException bogus) {
            throw new RuntimeException(bogus);
        }
    }
 
    XPackBuild(final String shortHash, final String date) {
        this.shortHash = shortHash;
        this.date = date;
    }
 
    public String shortHash() {
        return this.shortHash;
    }
 
    public String date() {
        return this.date;
    }
 
    static {
        final Path path = getElasticsearchCodebase();
        String shortHash = null;
        String date = null;
        Label_0157: {
            shortHash = "Unknown";
            date = "Unknown";
        }
        CURRENT = new XPackBuild(shortHash, date);
    }
}

使用javac对两个类进行编译

javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" LicenseVerifier.java
javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" XPackBuild.java

然后会编译后的class生成,替换到x-pack-core-6.5.4.jar中,并更新到集群中各个节点中的/modules/x-pack-core/x-pack-core-6.5.4.jar

3.2 集群间SSL

1)生成CA证书,bin/elasticsearch-certutil ca,将生成文件elastic-stack-ca.p12,避免麻烦生成时一路Enter下去。
2)bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 将生成新文件elastic-certificates.p12。会提示输入证书和密钥密码,避免麻烦直接Enter来密码留空。
3)将elastic-certificates.p12复制到每个节点的/config/certs目录下

mkdir -p config/certs
mv elastic-certificates.p12 config/certs/

4)配置config/elasticsearch.yml

xpack.security.enabled: false
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

其中xpack.security.transport.ssl开头的配置节点间数据传输的。
5)重启ES集群

3.3 License升级

去官网申请license,官网:https://license.elastic.co/registration,会得到一个json文件,我们修改json里内容

# type由basic修改为platinum,修改为platinum白金
"type":"platinum"
# 过期时间写到2050年
"expiry_date_in_millis": 2524579200999

就修改后的license.json放到某个节点上,使用下面命令导入License,其中IP和端口为随便一个主节点的。

curl -XPUT 'http://192.168.182.123:9200/_xpack/license' -H "Content-Type: application/json" -d @license.json

查看Kibana,发现license已升级


升级后License

3.4 登录密码设置

各个节点中config/elasticsearch.yml修改xpack.security.enabled修改为true:xpack.security.enabled: true,然后重启各个节点,重启后访问就需要账号密码了。在某一个主节点执行

bin/elasticsearch-setup-passwords interactive

设置内置账号的密码,记住设置的密码。

3.5 Kibana设置

此时Kibana是连不上ES的,修改kibana.yml,增加

elasticsearch.username: "kibana"
elasticsearch.password: "yourpassword"

重启Kibana后,访问需要登录


Kibana登录

输入账号密码后,即可访问。
其中Management下的Users和Roles的配置需要elastic用户登录来操作。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342