X-Pack簡(jiǎn)介

X-Pack是Elastic Stack擴(kuò)展功能，提供安全性，警報(bào)，監(jiān)視，報(bào)告，機(jī)器學(xué)習(xí)和許多其他功能。
X-Pack的發(fā)展演變：
1，5.X版本之前：沒(méi)有x-pack，是獨(dú)立的：security安全,watch查看，alert警告等獨(dú)立單元。
2，5.X版本：對(duì)原本的安全，警告，監(jiān)視，圖形和報(bào)告做了一個(gè)封裝，形成了x-pack。
3，6.3 版本之前：需要額外安裝。
4，6.3版本及之后：已經(jīng)集成在一起發(fā)布，無(wú)需額外安裝，基礎(chǔ)安全屬于付費(fèi)黃金版內(nèi)容。 7 .1版本：基礎(chǔ)安全免費(fèi)

X-Pack分基礎(chǔ)級(jí)、黃金級(jí)、白金級(jí)，不同等級(jí)功能不同，基礎(chǔ)級(jí)免費(fèi)所以一般我們使用基礎(chǔ)級(jí)

這里我們使用X-Pack來(lái)做

之前的安全方案

免費(fèi)之前，一般采用以下方案保證安全：

方案一：全部“裸奔”，相信這在國(guó)內(nèi)占據(jù)了非常大的比重。
內(nèi)網(wǎng)部署，不對(duì)外提供服務(wù)。或者ES作為業(yè)務(wù)基礎(chǔ)支撐，不公網(wǎng)開(kāi)放9200等常用端口，開(kāi)放的是業(yè)務(wù)的服務(wù)端口。
可能暴露問(wèn)題：公司或團(tuán)隊(duì)內(nèi)部開(kāi)放9200、5601端口，基本head插件、kibana都能連接，極易導(dǎo)致線(xiàn)上索引或數(shù)據(jù)可能被誤刪。

方案二：簡(jiǎn)單防護(hù)。
一般使用Nginx身份認(rèn)證+防火墻策略控制。 （這種方式后續(xù)可以測(cè)試驗(yàn)證一下）

方案三：整合使用了第三方安全認(rèn)證方案。
比如：SearchGuard、ReadonlyREST。

方案四：付費(fèi)購(gòu)買(mǎi)了Elastic-Xpack黃金版或白金版服務(wù)。
一般是銀行等土豪大客戶(hù)，對(duì)安全、預(yù)警、機(jī)器學(xué)習(xí)等付費(fèi)功能需求迫切，如：寧波銀行付費(fèi)購(gòu)買(mǎi)白金服務(wù)。

ES開(kāi)啟認(rèn)證

ES環(huán)境部署不在贅述，參考之前博客
修改 config/elasticsearch.yml配置文件，增加以下兩項(xiàng)內(nèi)容，開(kāi)啟 X-Pack認(rèn)證

xpack.security.enabled: true   #X-Pack 認(rèn)證總開(kāi)關(guān)，開(kāi)啟之后訪問(wèn)ES 9200就必須進(jìn)行用戶(hù)名和密碼認(rèn)證
xpack.security.transport.ssl.enabled: true  # 開(kāi)啟總開(kāi)關(guān)后必須開(kāi)啟該選項(xiàng)，否則無(wú)法啟動(dòng)

并設(shè)置ES用戶(hù)密碼，執(zhí)行完成后記得保存自動(dòng)修改的用戶(hù)名和密碼防止忘記。

bin/elasticsearch-setup-passwords auto

再次訪問(wèn)ES http://10.XX.XX.22:9200 就要求輸入用戶(hù)名密碼才能訪問(wèn)

修改用戶(hù)密碼:

curl -kv -H “Content-Type:application/json” -XPOST ‘https://elastic:******@X.X.X.X:9200/_security/user/elastic/_ssword’ -d ‘{ “password” : “newpass” }’

ES服務(wù)升級(jí)https協(xié)議

執(zhí)行以下命令生成證書(shū)

/bin/elasticsearch-certutil ca  #直接回車(chē)
/bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12  #直接回車(chē) --ca后的內(nèi)容為 第一條名稱(chēng)生成的 文件名稱(chēng)

功生成兩個(gè)文件：elastic-certificates.p12 elastic-stack-ca.p12
將文件放置在config/cert目錄下 （需要新建cert目錄）
修改 config/elasticsearch.yml配置文件，增加以下內(nèi)容，開(kāi)啟 https訪問(wèn)：

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: cert/elastic-certificates.p12
xpack.security.http.ssl.truststore.path: cert/elastic-certificates.p12

重啟并再次訪問(wèn)ES服務(wù)必須通過(guò)https 訪問(wèn) https://10.XX.XX.22:9200

開(kāi)啟集群節(jié)點(diǎn)之間的證書(shū)認(rèn)證

修改 config/elasticsearch.yml配置文件，增加以下內(nèi)容：

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: cert/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: cert/elastic-certificates.p12

重啟服務(wù)即可。后續(xù)有機(jī)會(huì)驗(yàn)證一下

參考文檔：https://blog.csdn.net/laoyang360/article/details/90554761
https://blog.csdn.net/github_30641423/article/details/123746349文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-625379.html

到了這里，關(guān)于ES開(kāi)啟身份認(rèn)證的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！