|
|
Δημοσιεύτηκε στις 23/12/2021 9:34:05 π.μ.
|
|
|
|
Στις 21 Μαΐου 2019, η Elastic ανακοίνωσε επίσημα ότι τα βασικά χαρακτηριστικά ασφαλείας των εκδόσεων 6.8.0 και 7.1.0 του Elastic Stack είναι πλέον διαθέσιμα δωρεάν.
αναθεώρηση
Αυτό σημαίνει ότι οι χρήστες μπορούν πλέον να κρυπτογραφούν την κυκλοφορία δικτύου, να δημιουργούν και να διαχειρίζονται χρήστες, να ορίζουν ρόλους που μπορούν να προστατεύουν την πρόσβαση σε επίπεδο ευρετηρίου και συμπλέγματος και να παρέχουν πλήρη προστασία για το Kibana χρησιμοποιώντας το Spaces. Τα βασικά χαρακτηριστικά ασφαλείας που διατίθενται δωρεάν είναι τα εξής:
- Λειτουργικότητα TLS. Κρυπτογράφηση επικοινωνιών
- Αρχεία και εγγενές βασίλειο. Μπορεί να χρησιμοποιηθεί για τη δημιουργία και τη διαχείριση χρηστών
- Έλεγχος πρόσβασης βάσει ρόλων. Μπορεί να χρησιμοποιηθεί για τον έλεγχο της πρόσβασης των χρηστών σε API και ευρετήρια συμπλέγματος
- Τα χαρακτηριστικά ασφαλείας για το Kibana Spaces επιτρέπουν επίσης την πολλαπλή μίσθωση στην Kibana
Εξέλιξη του X-Pack
- Πριν από την έκδοση 5.X: Δεν υπάρχει X-pack, είναι ανεξάρτητο: ασφάλεια, ρολόι, ειδοποίηση κ.λπ.
- 5. Έκδοση X: Ένα πακέτο της αρχικής ασφάλειας, προειδοποιήσεων, παρακολούθησης, γραφικών και αναφορών μετατρέπεται σε ένα x-pack.
- Πριν από την έκδοση 6.3: Απαιτείται πρόσθετη εγκατάσταση.
- Έκδοση 6.3 και νεότερη: Κυκλοφορεί ενσωματωμένη χωρίς πρόσθετη εγκατάσταση, η βασική ασφάλεια πληρώνεται περιεχόμενο Gold Edition. Έκδοση 7.1: Βασική ασφάλεια Δωρεάν.
Πριν από αυτό, εξασφαλίστε την ασφάλεια του ιδρύματος;
Σκηνή 1: Όλοι «γυμνοί», πιστεύω ότι αυτό καταλαμβάνει πολύ μεγάλο ποσοστό στην Κίνα. Ανάπτυξη intranet, χωρίς εξωτερικές υπηρεσίες. Ή το ES χρησιμοποιείται ως βασική υποστήριξη της υπηρεσίας και το δημόσιο δίκτυο ανοίγει κοινές θύρες όπως το 9200, αλλά ανοίγει τη θύρα υπηρεσίας της υπηρεσίας. Πιθανά προβλήματα έκθεσης: Η εταιρεία ή η ομάδα έχει ανοιχτές θύρες 9200 και 5601 και μπορούν να συνδεθούν βασικά πρόσθετα κεφαλής και kibana, γεγονός που μπορεί εύκολα να οδηγήσει σε online ευρετήρια ή τυχαία διαγραφή δεδομένων.
Σενάριο 2: Προστίθεται απλή προστασία. Γενικά, χρησιμοποιείται έλεγχος ταυτότητας Nginx + έλεγχος πολιτικής τείχους προστασίας.
Σενάριο 3: Ενσωματώστε και χρησιμοποιήστε μια λύση ελέγχου ταυτότητας ασφαλείας τρίτου κατασκευαστή. Για παράδειγμα: SearchGuard, ReadonlyREST.
Σενάριο 4: Πληρώσατε για την υπηρεσία Elastic-Xpack Gold ή Platinum. Γενικά, οι τράπεζες και άλλοι τοπικοί τυράννοι πελάτες έχουν επείγουσα ανάγκη για λειτουργίες επί πληρωμή, όπως ασφάλεια, έγκαιρη προειδοποίηση και μηχανική μάθηση, όπως η Bank of Ningbo που πληρώνει για υπηρεσίες πλατίνας.
Ενεργοποιήστε το xpack για την αυτόνομη έκδοση
Αυτό το άρθρο βασίζεται στην έκδοση 7.10.2 του Elasticsearch και ενεργοποιεί την υπηρεσία ασφαλείας xpack.
{
"name" : "WIN-ITSVSE",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "ad596cwGSFunWSAu0RGbfQ",
"έκδοση" : {
"αριθμός" : "7.10.2",
"build_flavor" : "προεπιλογή",
"build_type" : "zip",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot" : ψευδής,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "Ξέρεις, για αναζήτηση"
}
Τροποποιήστε το φάκελο διαμόρφωσηςelasticsearch.ymlΤα έγγραφα έχουν ως εξής:
Το ES διαθέτει αρκετούς ενσωματωμένους λογαριασμούς για τη διαχείριση άλλων ενσωματωμένων στοιχείων, συγκεκριμένα: apm_system, beats_system, elastic, kibana, logstash_system, remote_monitoring_user, πριν το χρησιμοποιήσετε, πρέπει πρώτα να προσθέσετε έναν κωδικό πρόσβασης. προεπιλογήΟ κωδικός πρόσβασης του λογαριασμού είναι: elastic:changeme (η δοκιμή δεν είναι έγκυρη)
Το X-Pack Security παρέχει ενσωματωμένους χρήστες για να σας βοηθήσει να ξεκινήσετε τη λειτουργία σας. Η εντολή elasticsearch-setup-password είναι ο ευκολότερος τρόπος για να ορίσετε έναν ενσωματωμένο κωδικό πρόσβασης χρήστη για πρώτη φορά.
Υπάρχουν 4 ενσωματωμένοι χρήστες, ως εξής:
Ελαστικός σούπερ χρήστης
Το kibana (απαρχαιωμένο) χρησιμοποιείται για τη σύνδεση και την επικοινωνία με το Elasticsearch
logstash_system Χρησιμοποιείται για την αποθήκευση πληροφοριών παρακολούθησης στο Elasticsearch
beats_system Χρησιμοποιείται για την αποθήκευση πληροφοριών παρακολούθησης στο Elasticsearch
εκτελώelasticsearch-ρύθμιση-κωδικοί πρόσβασηςΤο σενάριο ορίζει τον κωδικό πρόσβασης με την ακόλουθη εντολή:
Έναρξη της ρύθμισης κωδικών πρόσβασης για δεσμευμένους χρήστες elastic,apm_system,kibana,kibana_system,logstash_system,beats_system,remote_monitoring_user.
Θα σας ζητηθεί να εισαγάγετε κωδικούς πρόσβασης καθώς προχωρά η διαδικασία.
Επιβεβαιώστε ότι θέλετε να συνεχίσετε [Ν/Ο]
Πληκτρολογήστε y για να συνεχίσετε και ορίστε όλους τους κωδικούς πρόσβασης ως:Α123456
Αφού ολοκληρωθεί η παραμετροποίηση, επανεκκινήστε την υπηρεσία Elasticsearch, ανοίξτε το es:9200 μέσω του προγράμματος περιήγησης και θα σας ζητηθεί να πιστοποιήσετε, όπως φαίνεται στην παρακάτω εικόνα:
Ο αριθμός λογαριασμού είναι: ελαστικός, κωδικός πρόσβασης: A123456
Ρύθμιση παραμέτρων της σύνδεσης Kibana
Μετά την ενεργοποίηση του ελέγχου ταυτότητας ασφαλείας, το Kibana απαιτεί έλεγχο ταυτότητας για να συνδεθεί στο ES και να αποκτήσει πρόσβαση στο ES. Τροποποιήστε το αρχείο kibana.yml κάτω από το φάκελο διαμόρφωσης ως εξής:
Σημείωση: Οι λογαριασμοί Kibana είναι ξεπερασμένοι, χρησιμοποιήστε kibana_system λογαριασμούς.
Συνδεθείτε στην ιστοσελίδα Kibana με τον λογαριασμό σας Elastic, όπως φαίνεται παρακάτω:
Διαμόρφωση Logstash
Η διαμόρφωση έχει ως εξής:
Εάν χρησιμοποιείτε απευθείας έναν λογαριασμό Elastic, εάν χρησιμοποιείτε έναν λογαριασμό logstash_system, θα λάβετε το ακόλουθο σφάλμα:
[2021-12-21T11:11:29,813] [ΣΦΑΛΜΑ] [logstash.outputs.elasticsearch] [κύρια] [914f6dc36c33b25e36501f5d67843afdaa2117f811140c7c078a808a123d20a3] Παρουσιάστηκε σφάλμα με δυνατότητα επανάληψης. Θα ξαναπροσπαθήσω με εκθετική οπισθοδρόμηση {:code=>403, :url=>"http://127.0.0.1:9200/_bulk"}
Σύνδεσμοι αναφοράς:
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
|
Προηγούμενος:Η εντολή Maven ωθεί πακέτα jar τρίτων σε ιδιωτικά αποθετήρια NexusΕπόμενος:Ανάλυση απόδοσης: TPS, QPS, έννοιες μέσου χρόνου απόκρισης (RT).
|
