|
|
Opublikowano 23.12.2021 09:34:05
|
|
|
|
21 maja 2019 roku Elastic oficjalnie ogłosił, że podstawowe funkcje bezpieczeństwa wersji Elastic Stack 6.8.0 i 7.1.0 są teraz dostępne za darmo.
recenzja
Oznacza to, że użytkownicy mogą teraz szyfrować ruch sieciowy, tworzyć i zarządzać użytkownikami, definiować role chroniące dostęp indeksowy i klastrowy oraz zapewniać pełną ochronę Kibanie korzystającej ze Spaces. Podstawowe funkcje bezpieczeństwa dostępne bezpłatnie to:
- Funkcjonalność TLS. Szyfrowanie komunikacji
- Pliki i natywne Realm. Można go używać do tworzenia i zarządzania użytkownikami
- Kontrola dostępu oparta na rolach. Może być używany do kontroli dostępu użytkownika do API i indeksów klastrów
- Funkcje bezpieczeństwa w Kibana Spaces umożliwiają także wielonajemców w Kibana
Ewolucja X-Pack
- Przed wersją 5.X: nie było X-packa, był niezależny: ochrona, zegarek, alarm itd.
- 5. Wersja X: Pakiet z oryginalnym zabezpieczeniem, ostrzeżeniami, monitoringiem, grafiką i raportami zostaje przekształcony w x-pack.
- Przed wersją 6.3: Wymagana dodatkowa instalacja.
- Wersja 6.3 i nowsze: Wydana zintegrowana bez dodatkowej instalacji, podstawowe zabezpieczenia to płatna zawartość Gold Edition. Wersja 7.1: Podstawowy bezpiekarny.
Przed tym zadbać o bezpieczeństwo fundamentu?
Scena 1: Cała "naga", uważam, że zajmuje bardzo dużą część w Chinach. Wdrożenie intranetu, brak zewnętrznych usług. Lub ES jest używany jako podstawowe wsparcie usługi, a sieć publiczna otwiera wspólne porty, takie jak 9200, ale otwiera port usługowy tej usługi. Możliwe problemy z ekspozycją: firma lub zespół ma otwarte porty 9200 i 5601, a podstawowe wtyczki do głowy i kibana mogą być podłączone, co łatwo może prowadzić do przypadkowego usunięcia indeksów online lub danych.
Scenariusz 2: Dodana jest prosta ochrona. Zazwyczaj stosuje się uwierzytelnianie tożsamości Nginx + kontrolę polityki zapory.
Scenariusz 3: Integruj i korzystaj z zewnętrznego rozwiązania do uwierzytelniania bezpieczeństwa. Na przykład: SearchGuard, ReadonlyREST.
Scenariusz 4: Zapłaciłeś za usługę Elastic-Xpack Gold lub Platinum. Zazwyczaj banki i inni lokalni tyrani klienci pilnie potrzebują płatnych funkcji, takich jak bezpieczeństwo, wczesne ostrzeganie i uczenie maszynowe, na przykład Bank of Ningbo płaci za usługi platynowe.
Włącz xpack dla wersji samodzielnej
Ten artykuł opiera się na wersji Elasticsearch 7.10.2 i umożliwia usługę bezpieczeństwa xpack.
{
"imię" : "WIN-ITSVSE",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "ad596cwGSFunWSAu0RGbfQ",
"version" : {
"numer" : "7.10.2",
"build_flavor" : "domyślnie",
"build_type" : "zip",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot": fałsz,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"hasło towarowe": "Wiesz, do wyszukiwania"
}
Zmodyfikuj folder konfiguracyjnyelasticsearch.ymlDokumenty przedstawiają się następująco:
ES ma kilka wbudowanych kont do zarządzania innymi zintegrowanymi komponentami, mianowicie: apm_system, beats_system, elastic, kibana, logstash_system, remote_monitoring_user przed użyciem należy najpierw dodać hasło. domyślnyHasło do konta to: elastic:changeme (test nieprawidłowy)
X-Pack Security zapewnia wbudowanych użytkowników, którzy pomogą Ci rozpocząć działalność. Polecenie elasticsearch-setup-password to najprostszy sposób na ustawienie wbudowanego hasła użytkownika po raz pierwszy.
Są 4 wbudowanych użytkowników, a następująco:
Elastyczny Superużytkownik
kibana (przestarzałe) jest używana do łączenia się i komunikacji z Elasticsearch
logstash_system Używa się do przechowywania informacji monitorujących w Elasticsearch
beats_system Używany do przechowywania informacji monitorujących w Elasticsearch
wykonaćelasticsearch-setup-passwordsSkrypt ustawia hasło za pomocą następującego polecenia:
Rozpoczynam konfigurację haseł dla zarezerwowanych użytkowników elastyczny, apm_system, kibana, kibana_system, logstash_system, beats_system, remote_monitoring_user.
W miarę postępów procesu będziesz proszony o wpisywanie haseł.
Proszę potwierdzić, że chcesz kontynuować [y/N]
Wpisz y, aby kontynuować, i ustaw wszystkie hasła jako:a123456
Po zakończeniu konfiguracji ponownie uruchom usługę Elasticsearch, otwórz es:9200 przez przeglądarkę i pojawi się ona zapytanie o wymagane uwierzytelnienie, jak pokazano na poniższym rysunku:
Numer konta to: elastic, hasło: A123456
Konfiguruj połączenie Kibana
Po włączeniu uwierzytelniania bezpieczeństwa, Kibana wymaga uwierzytelnienia, aby połączyć się z ES i uzyskać dostęp do ES. Zmodyfikuj plik kibana.yml w folderze konfiguracyjnym w następujący sposób:
Uwaga: konta Kibana są przestarzałe, prosimy o korzystanie z kibana_system kont.
Zaloguj się na stronę Kibana za pomocą swojego konta Elastic, jak pokazano poniżej:
Configure Logstash
Konfiguracja wygląda następująco:
Jeśli korzystasz bezpośrednio z konta Elastic, jeśli korzystasz z konta logstash_system, pojawi się następujący błąd:
[2021-12-21T11:11:29,813] [BŁĄD] [logstash.outputs.elasticsearch] [główny] [914f6dc36c333b25e36501f5d67843afdaa2117f811140c7c078a808a123d20a3] Napotkałem błąd do ponownego spróbowania. Will Try Retry z wykładniczym cofnięciem {:code=>403, :url=>"http://127.0.0.1:9200/_bulk"}
Linki referencyjne:
Logowanie do linku jest widoczne.
Logowanie do linku jest widoczne.
|
Poprzedni:Polecenie Maven przesyła pakiety jar firm trzecich do prywatnych repozytoriów NexusaNastępny:Analiza wydajności: koncepcje TPS, QPS, średniego czasu reakcji (RT)
|
