|
|
Zverejnené 23. 12. 2021 9:34:05
|
|
|
|
Dňa 21. mája 2019 spoločnosť Elastic oficiálne oznámila, že základné bezpečnostné funkcie verzií Elastic Stack 6.8.0 a 7.1.0 sú teraz dostupné zadarmo.
revízia
To znamená, že používatelia teraz môžu šifrovať sieťovú prevádzku, vytvárať a spravovať používateľov, definovať úlohy, ktoré môžu chrániť prístup na úrovni indexu a klastra, a poskytovať plnú ochranu Kibane pomocou Spaces. Základné bezpečnostné funkcie dostupné zadarmo sú nasledovné:
- Funkcionalita TLS. Šifrovanie komunikácie
- Súbory a natívny Realm. Môže sa použiť na vytváranie a správu používateľov
- Riadenie prístupu založené na rolách. Môže sa použiť na kontrolu prístupu používateľov k klastrovým API a indexom
- Bezpečnostné prvky pre Kibana Spaces tiež umožňujú multi-tenancy v Kibane
Evolúcia X-Packu
- Pred verziou 5.X: X-pack neexistoval, bol nezávislý: bezpečnosť, hodinky, upozornenia a podobne.
- 5. X verzia: Balík pôvodnej bezpečnosti, varovaní, monitorovania, grafiky a reportov je premenený na x-pack.
- Pred verziou 6.3: Potrebná ďalšia inštalácia.
- Verzia 6.3 a novšie: Vydaná integrovaná bez dodatočnej inštalácie, základná bezpečnosť je platený obsah Gold Edition. Verzia 7.1: Základná bezpečnosť bez obsahu.
Predtým, zaistiť bezpečnosť základov?
Scéna 1: Celý "nahý", myslím, že toto zaberá v Číne veľmi veľkú časť. Nasadenie intranetu, žiadne externé služby. Alebo ES sa používa ako základná podpora služby a verejná sieť otvára spoločné porty ako 9200, ale otvára servisný port služby. Možné problémy s vystavením: Spoločnosť alebo tím má otvorené porty 9200 a 5601 a základné hlavové plug-iny a kibana je možné pripojiť, čo môže ľahko viesť k náhodnému vymazaniu online indexov alebo dát.
Scenár 2: Pridáva sa jednoduchá ochrana. Vo všeobecnosti sa používa autentifikácia identity Nginx + kontrola politiky firewallu.
Scenár 3: Integrujte a používajte bezpečnostné autentifikačné riešenie tretej strany. Napríklad: SearchGuard, ReadonlyREST.
Scenár 4: Zaplatili ste za službu Elastic-Xpack Gold alebo Platinum. Vo všeobecnosti majú banky a ďalší miestni tyranskí zákazníci naliehavú potrebu platených funkcií, ako je bezpečnosť, včasné varovanie a strojové učenie, napríklad Bank of Ningbo platí za platinové služby.
Zapnite xpack pre samostatnú verziu
Tento článok je založený na Elasticsearch verzii 7.10.2 a umožňuje bezpečnostnú službu xpack.
{
"meno" : "WIN-ITSVSE",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "ad596cwGSFunWSAu0RGbfQ",
"verzia" : {
"číslo" : "7.10.2",
"build_flavor" : "predvolené",
"build_type" : "zip",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot" : nepravda,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"slogan": "Vieš, na hľadanie"
}
Upravte konfiguračný priečinokelasticsearch.ymlDokumenty sú nasledovné:
ES má niekoľko zabudovaných účtov na správu ďalších integrovaných komponentov, konkrétne: apm_system, beats_system, elastic, kibana, logstash_system, remote_monitoring_user, pred jeho použitím je potrebné najskôr zadať heslo. predvolenýHeslo účtu je: elastic:changeme (test neplatný)
X-Pack Security poskytuje zabudovaných používateľov, ktorí vám pomôžu rozbehnúť sa. Príkaz elasticsearch-setup-password je najjednoduchší spôsob, ako prvýkrát nastaviť vstavané používateľské heslo.
Existujú 4 zabudovaní používatelia, a to nasledovne:
Elastický superpoužívateľ
kibana (zastaralý) sa používa na pripojenie a komunikáciu s Elasticsearch
logstash_system Používa sa na ukladanie monitorovacích informácií v Elasticsearch
beats_system Používa sa na ukladanie monitorovacích informácií v Elasticsearch
vykonaťelasticsearch-setup-passwordsSkript nastaví heslo nasledujúcim príkazom:
Spúšťam nastavenie hesiel pre rezervovaných používateľov elastic, apm_system, kibana, kibana_system, logstash_system, beats_system, remote_monitoring_user.
Počas procesu budete vyzvaní na zadanie hesiel.
Prosím, potvrďte, že by ste chceli pokračovať [y/n]
Zadajte y pre pokračovanie a nastavte všetky heslá nasledovne:a123456
Po dokončení konfigurácie reštartujte službu Elasticsearch, otvorte es:9200 cez prehliadač a zobrazí sa výzva, že je potrebná autentifikácia, ako je znázornené na nasledujúcom obrázku:
Číslo účtu je: elastic, heslo: A123456
Konfigurácia Kibana spojenia
Po zapnutí bezpečnostnej autentifikácie vyžaduje Kibana autentifikáciu na pripojenie k ES a prístup k ES. Upravte kibana.yml súbor v konfiguračnom priečinku nasledovne:
Poznámka: Účty Kibana sú zastarané, prosím, používajte kibana_system účty.
Prihláste sa na stránku Kibana so svojím účtom Elastic, ako je uvedené nižšie:
Configure Logstash
Konfigurácia je nasledovná:
Ak používate Elastic účet priamo, ak používate logstash_system účet, dostanete nasledujúcu chybu:
[2021-12-21T11:11:29,813] [CHYBA] [logstash.outputs.elasticsearch] [hlavné] [914f6dc36c333b25e36501f5d67843afdaa2117f811140c7c078a808a123d20a3] Narazil som na chybu, ktorú je možné znovu vyskúšať. Bude skúšať znova s exponenciálnym odstupom {:code=>403, :url=>"http://127.0.0.1:9200/_bulk"}
Referenčné odkazy:
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
|
Predchádzajúci:Príkaz Maven posiela balíčky tretej strany do súkromných repozitárov NexusuBudúci:Analýza výkonu: koncepty TPS, QPS, priemerného času odozvy (RT)
|
