|
|
Objavljeno na 23. 12. 2021 09:34:05
|
|
|
|
21. maja 2019 je Elastic uradno napovedal, da so osnovne varnostne funkcije različic Elastic Stack 6.8.0 in 7.1.0 zdaj na voljo brezplačno.
pregled
To pomeni, da lahko uporabniki zdaj šifrirajo omrežni promet, ustvarjajo in upravljajo uporabnike, določajo vloge, ki lahko ščitijo dostop na ravni indeksov in grozdov ter zagotavljajo popolno zaščito Kibane z uporabo Spaces. Osnovne varnostne funkcije, ki so na voljo brezplačno, so naslednje:
- Funkcionalnost TLS. Šifriranje komunikacij
- Datoteke in izvorni Realm. Lahko se uporablja za ustvarjanje in upravljanje uporabnikov
- Nadzor dostopa na podlagi vlog. Lahko se uporablja za nadzor uporabniškega dostopa do API-jev in indeksov grozdov
- Varnostne funkcije za Kibana Spaces omogočajo tudi večnajemnost v Kibani
Evolucija X-Packa
- Pred različico 5.X: ni bilo X-packa, je bil neodvisen: varnost, straža, opozorilo itd.
- 5. X različica: Paket izvirnih varnosti, opozoril, spremljanja, grafike in poročil je spremenjen v x-paket.
- Pred različico 6.3: Potrebna je dodatna namestitev.
- Različica 6.3 in novejša: Izdana integrirana brez dodatne namestitve, osnovna varnost je plačana vsebina Gold Edition. Različica 7.1: Osnovna varnost brez varnosti.
Pred tem poskrbite za varnost temeljev?
Prizor 1: Vsi "goli", verjamem, da to zavzema zelo velik delež na Kitajskem. Namestitev intraneta, brez zunanjih storitev. Ali se ES uporablja kot osnovna podpora storitve, javno omrežje pa odpre skupne priključke, kot je 9200, vendar odpre servisna vrata storitve. Možne težave z izpostavljenostjo: Podjetje ali ekipa ima odprte priključke 9200 in 5601, lahko pa se povežejo osnovni vtičniki in kibana, kar lahko zlahka povzroči nenamerno brisanje spletnih indeksov ali podatkov.
Scenarij 2: Dodana je preprosta zaščita. Na splošno se uporablja Nginx avtentikacija identitete + nadzor politik požarnega zidu.
Scenarij 3: Integracija in uporaba rešitve za varnostno avtentikacijo tretje osebe. Na primer: SearchGuard, ReadonlyREST.
Scenarij 4: Plačali ste za storitev Elastic-Xpack Gold ali Platinum. Na splošno imajo banke in druge lokalne tiranske stranke nujno potrebo po plačljivih funkcijah, kot so varnost, zgodnje opozarjanje in strojno učenje, na primer Bank of Ningbo, ki plačuje za platinaste storitve.
Vklopi xpack za samostojno različico
Ta članek temelji na različici Elasticsearch 7.10.2 in omogoča varnostno storitev xpack.
{
"ime": "WIN-ITSVSE",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "ad596cwGSFunWSAu0RGbfQ",
"version" : {
"številka": "7.10.2",
"build_flavor" : "privzeto",
"build_type" : "zip",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot" : laž,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"slogan": "Veš, za iskanje"
}
Spremenite konfiguracijsko mapoelasticsearch.ymlDokumenti so naslednji:
ES ima več vgrajenih računov za upravljanje drugih integriranih komponent, in sicer: apm_system, beats_system, elastic, kibana, logstash_system, remote_monitoring_user, pred uporabo morate najprej vnesti geslo. PrivzetoGeslo računa je: elastic:changeme (test veljaven)
X-Pack Security zagotavlja vgrajene uporabnike, ki vam pomagajo začeti delovati. Ukaz elasticsearch-setup-password je najlažji način za prvo nastavitev vgrajenega uporabniškega gesla.
Obstajajo 4 vgrajeni uporabniki, in sicer:
Elastični super uporabnik
kibana (zastarela) se uporablja za povezovanje in komunikacijo z Elasticsearchom
logstash_system Uporablja se za shranjevanje podatkov o spremljanju v Elasticsearch
beats_system Uporablja se za shranjevanje nadzornih informacij v Elasticsearch
izvršitielasticsearch-setup-passwordsSkripta nastavi geslo z naslednjim ukazom:
Začetek nastavitve gesel za rezervirane uporabnike Elastic, apm_system, Kibana, kibana_system, logstash_system, beats_system, remote_monitoring_user.
Med postopkom boste pozvani, da vnesete gesla.
Prosimo, potrdite, da želite nadaljevati [y/N]
Vnesite y za nadaljevanje in nastavite vsa gesla kot:a123456
Ko je konfiguracija končana, ponovno zaženite storitev Elasticsearch, odprite es:9200 v brskalniku in ta bo pozval, da je potrebna avtentikacija, kot je prikazano na naslednji sliki:
Številka računa je: elastika, geslo: A123456
Nastavite Kibana povezavo
Po omogočeni varnostni avtentikaciji Kibana zahteva avtentikacijo za povezavo z ES in dostop do ES. Spremenite datoteko kibana.yml v konfiguracijski mapi takole:
Opomba: Kibana računi so zastareli, prosimo, uporabite kibana_system račune.
Prijavite se na spletno stran Kibana s svojim Elastic računom, kot je prikazano spodaj:
Configure Logstash
Konfiguracija je naslednja:
Če uporabljate Elastic račun neposredno, če uporabljate logstash_system račun, boste dobili naslednjo napako:
[2021-12-21T11:11:29,813] [NAPAKA] [logstash.outputs.elasticsearch] [glavno] [914f6dc36c333b25e36501f5d67843afdaa2117f811140c7c078a808a123d20a3] Naletel sem na napako, ki jo je mogoče ponovno preizkusiti. Bom poskusil znova z eksponentnim odstopom {:code=>403, :url=>"http://127.0.0.1:9200/_bulk"}
Referenčne povezave:
Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna.
|
Prejšnji:Ukaz Maven pošilja pakete jar tretjih oseb v zasebne repozitorije NexusaNaslednji:Analiza zmogljivosti: koncepti TPS, QPS, povprečnega odzivnega časa (RT)
|
