首页 > 其他分享 >8、使用search-guard加固安全为https访问

8、使用search-guard加固安全为https访问

时间:2024-10-09 14:34:03浏览次数:9  
标签:searchguard search ssl guard elasticsearch https ES

使用search-guard加固安全为https访问 1、ES 安装search-guard 安装 1、在linux上下载介质。 下载后无需解压。 wget https://releases.floragunn.com/search-guard-6/6.8.3-25.5/search-guard-6-6.8.3-25.5.zip 2、停止ES运行。 3、使用ES已有的插件工具,安装命令如下。会自动在ES的plugins目录下创建search-guard文件 ./elasticsearch-6.8.3/bin/elasticsearch-plugin install -b file:///home/zyplanke/es/search-guard-6-6.8.3-25.5.zip   4、启用插件。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行: bash install_demo_configuration.sh (按提示,输入三次Y)      以上执行后,会自动给elasticsearch-6.8.3/config/elasticsearch.yml文件后面添加以下内容: searchguard.ssl.transport.pemcert_filepath: esnode.pem searchguard.ssl.transport.pemkey_filepath: esnode-key.pem searchguard.ssl.transport.pemtrustedcas_filepath: root-ca.pem searchguard.ssl.transport.enforce_hostname_verification: false searchguard.ssl.http.enabled: true searchguard.ssl.http.pemcert_filepath: esnode.pem searchguard.ssl.http.pemkey_filepath: esnode-key.pem searchguard.ssl.http.pemtrustedcas_filepath: root-ca.pem searchguard.allow_unsafe_democertificates: true searchguard.allow_default_init_sgindex: true searchguard.authcz.admin_dn: CN=kirk,OU=client,O=client,L=test, C=de searchguard.audit.type: internal_elasticsearch searchguard.enable_snapshot_restore_privilege: true searchguard.check_snapshot_restore_write_privileges: true searchguard.restapi.roles_enabled: ["sg_all_access"] cluster.routing.allocation.disk.threshold_enabled: false discovery.zen.minimum_master_nodes: 1 node.max_local_storage_nodes: 3 xpack.security.enabled: false 5、重启ES,使用https访问。 https://IP:9200           会提示输入用户密码,说明插件已经生效。(默认管理员用户为admin;密码为admin) 6、修改admin用户的密码。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行: bash hash.sh -p <新密码明文> 7、将得到的新密码密文串, 放入elasticsearch-6.8.3/plugins/search-guard-6/sgconfig/sg_internal_users.yml文件,修改文件admin用户下的hash值(使用刚才得到的新密码密文串)。 (建议同时把readonly设置为false,允许在kibana中修改admin的密码) 注意:这个文件除了admin,还有其他用户,例如kibanaserver用户。 admin: readonly: false hash: $2y$12$/iFel04G0O.0YmK.f31vhuwJZJ3xx9Fv164EveHVv73a8T2XnhGAC roles: - admin attributes: #no dots allowed in attribute names attribute1: value1 attribute2: value2 attribute3: value3 (以下内容省略) 8、初始化Search-Guard。进入插件目录:elasticsearch-6.8.3/plugins/search-guard-6/tools下,执行: bash sgadmin_demo.sh (如果在ES已运行情况下,仍报“ERR: Seems there is no Elasticsearch running on localhost:9300”,有可能是ES监听的IP不对,建议ES监听host的IP配置为0.0.0.0) 9、不用重启ES,使用浏览器登录ES,可发现新密码已经生效。 2、同步修改Kibana配置 1、由于kibana需要连接ES,当ES增加了search-guard插件后,kibana也需要同步修改。     2、编辑kibana目录下的kibana.yml文件, 修改配置如下: elasticsearch.hosts: ["https://IP:9200"] elasticsearch.username: "kibanaserver" elasticsearch.password: "kibanaserver" elasticsearch.ssl.verificationMode: none elasticsearch.requestHeadersWhitelist: [ "authorization","sgtenant" ] 3、然后重启kibana,在kibana Web页面中,使用admin用户密码登录。 可成功登录。 3、同步修改logstash配置 修改logstash配置logstash-sample.conf文件。参考格式如下 output { elasticsearch { hosts => ["https://IP:9200"] user => "admin" password => "password" ssl => false ssl_certificate_verification => false index => "nginx-%{+YYYY_MM}" codec => json }  

标签:searchguard,search,ssl,guard,elasticsearch,https,ES
From: https://www.cnblogs.com/Old-Kang/p/18454162

相关文章

  • 1、Elasticsearch安装
    Elasticsearch安装1.1什么是elasticsearch?ElasticSearch是一个分布式,高性能、高可用、可伸缩的搜索和分析系统。ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口。Elasticsearch是用Java开发的,并作为Apache许可......
  • DevNow: Search with Lunrjs
    前言假期真快,转眼国庆假期已经到了最后一天。这次国庆没有出去玩,在北京看了看房子,原先的房子快要到期了,找了个更加通透一点的房子,采光也很好。闲暇时间准备优化下DevNow的搜索组件,经过上一版搜索组件优化-Command⌘K的优化,现在的搜索内容只能支持标题,由于有时候标题不能......
  • wireguard进行组网
    logo成就你的写作梦想wireguard进行组网 it之承影含光 简书作者2024-06-1315:18IP属地:上海需求:在家中访问公司网络 1.在服务器中安装wireguard1.1下载脚本 curl-Ohttps://raw.githubusercontent.com/atrandys/wireguard/master/wg_mult.sh&&chmod+xwg_m......
  • 为什么安装了SSL证书还是不能HTTPS访问?
    安装了SSL证书后仍然无法通过HTTPS访问网站可能有以下几个原因:证书未正确配置:确保在服务器上正确安装并配置了SSL证书。这包括将证书文件正确放置,并在服务器软件中启用HTTPS。域名不匹配:检查SSL证书绑定的域名是否与实际访问的域名一致。如果访问的域名不在证书覆盖范围内,则......
  • 如何解决 构建dotnet docker镜像时报错:error NU1301: Unable to load the service ind
    我用的是dockerdesktop,Builders设置:desktop-linux以下是我的dotnet项目的Dockerfile内容FROMmcr.microsoft.com/dotnet/aspnet:6.0ASbaseWORKDIR/appEXPOSE80EXPOSE443FROMmcr.microsoft.com/dotnet/sdk:6.0ASbuildWORKDIR/srcCOPY["NuGet.Config","......
  • ElasticSearch之集群中的节点
    对官方文档Node的阅读笔记。ES集群由一个或者多个ES节点组成。ES集群中的节点,支持处理两类通信平面,见文档集群内节点之间的通信,官方文档称之为transportlayer。集群外的通信,处理客户端下发的请求,比如数据的CRUD,检索等,官方文档称之为HTTPlayer。通过集群内节点的通信,节点......
  • 网站在后台启用了https协议之后重新登录就不进去后台的解决方法
    备份现有配置文件 在进行任何修改之前,请确保先备份e/config/config.php文件,以便如果修改后出现问题可以快速恢复。bash cpe/config/config.phpe/config/config.bak修改配置文件 使用文本编辑器打开e/config/config.php文件,并找到httptype这个配置项。将其值从1(......
  • delphi 12 利用TNetHTTPClient 解决post https问题注意事项
          在以前的版本中,如果需要向https接口交互数据,需要openssl的支持,特别时openssl版本太多,往往需要调试很长时间, 现在新版的DelphiXE8以上的版本,有了TNetHttpClient,可以简单的是实现和https接口的交互。usesSystem.Net.URLClient,System.Net.HttpClient......
  • 37_初识搜索引擎_快速掌握query string search语法以及_all metadata原理揭秘
    1、querystring基础语法GET/test_index/test_type/_search?q=test_field:testGET/test_index/test_type/_search?q=+test_field:testGET/test_index/test_type/_search?q=-test_field:test一个是掌握q=field:searchcontent的语法,还有一个是掌握+和-的含义2、_allmetada......
  • 34_初识搜索引擎_search结果深入解析(search timeout机制揭秘)
    课程大纲1、我们如果发出一个搜索请求的话,会拿到一堆搜索结果,本节课,我们来讲解一下,这个搜索结果里的各种数据,都代表了什么含义2、我们来讲解一下,搜索的timeout机制,底层的原理,画图讲解GET/_search{"took":6,"timed_out":false,"_shards":{"total":6,"successful":6,......