ELK / 日志分析 / 系统运维

加强ELK集群安全性:实现Elasticsearch和Kibana的权限认证

浅时光博客 · 10月4日 · 2021年 6.6w 次已读

一、场景说明

确保数据安全:在部署ELK集群时,默认情况下往往不启用用户认证。然而,生产环境中必须确保数据安全,因此有必要启用Elasticsearch中的权限认证,并在集群之间配置TLS加密通信。原文链接:https://dqzboy.com这些安全功能从Elasticsearch 6.8版本后开始默认提供。如果使用较旧的版本部署,这些安全功能将无法实现。在我演示的环境中,我使用的版本是Elasticsearch 7.12.1。

二、创建证书

1、生成CA证书

  • 说明:这里我的ES集群都是通过RPM包安装的,如果你是源码部署的话,elasticsearch-certutil命令在es安装路径中的bin目录下
[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-certutil ca --out /etc/elasticsearch/elastic-stack-ca.p12 -pass ""

2、为节点签发证书

[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/elastic-stack-ca.p12 -pass "" --out /etc/elasticsearch/elastic-certificates.p12

3、将证书拷贝到所有节点

scp /etc/elasticsearch/elastic-certificates.p12 root@192.168.66.16:/etc/elasticsearch/
  • 注意:证书创建完成后,我们需要赋予es服务运行用户相应的权限,不然下面生成密码时会报错!ES集群所有节点都需要赋权。
chown -R elasticsearch. /etc/elasticsearch

三、修改ES配置

1、添加配置

  • 这里我们需要修改ES配置,开启SSL认证和安装xpack,以及配置我们上面刚刚创建好的证书文件
  • 注意:ES集群节点都需要按照下面的操作进行修改,然后重启ES服务
[root@es-node1 ~]# vim /etc/elasticsearch/elasticsearch.yml
#配置文件最后添加如下配置
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate # 证书认证级别
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

2、重启服务

  • 修改完成后,重启启动ES服务,注意检查启动日志是否有报错
systemctl restart elasticsearch

四、生成密码

  • 上面我们去访问ES节点就需要输入密码了,现在我们就需要生成相应服务的访问密码
[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive

#或者生成随机密码:
[root@es-node1 ~]# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
  • 现在我们再通过浏览去访问ES:https://IP:9200
  • 注意:这里使用的是elastic 账号,该账号拥有 superuser 角色,是内置的超级用户
现在我们可以通过ES集群任意节点访问,都可以使用上面生成的随机密码登入了

五、Logstash配置

  • 上面我们开启了ES的安全认证同时也生成了相应服务的访问用户和密码。
  • 用户默认为logstash_system,密码则是上面生成的随机密码。
[root@logstash ~]# vim /etc/logstash/logstash.yml
  • 修改完成后重启logstash服务
[root@logstash ~]# systemctl restart logstash

之后我们Logstah再往es中推送数据时就需要在片段文件中指定es的账号和密码了,演示代码如下:

output {
    elasticsearch {
      hosts => ["http://192.168.66.15:9200", "http://192.168.66.16:9200"]
      index => "logs-%{+YYYY.MM.dd}"
      user => "elastic"   # 注意:这里演示使用超级账号,安全起见最好是使用自定义的账号,并授予该用户创建索引的权限
      password => "UI0xxxxxxxxxx"
    }
}

六、Kibana配置

kibana默认也是没有开启安全认证的,上面我们通过elasticsearch-setup-password 命令已经生成了kibana服务的随机密码,现在我们就需要配置kibana带上相应的用户去访问es集群了。

1、添加配置

[root@kibana ~]# vim /etc/kibana/kibana.yml
elasticsearch.username: "kibana"	# 注意:此处不用超级账号elastic,而是使用kibana跟es连接的账号kibana
elasticsearch.password: "xXFPPagAkXbYNMYi3LSF"
  • 重启服务
[root@kibana ~]# systemctl restart kibana

2、访问页面

  • 现在,我们输入kibana访问地址,就可以看到下图中需要输入访问的账号和密码。
  • 注意:这里使用的账号为elastic 只有这个用户有权限,后面可以进行创建角色和用户,这个大家自行研究下很简单的。

以上就文章来源(Source):浅时光博客是关于ELK集群安全相关的配置演示,大家在配置过程中遇到问题可以在下方留言!


本文作者:浅时光博客
原文链接:https://www.dqzboy.com/7928.html
版权声明:知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可,转载时请以>超链接形式标明文章原始出处和作者信息
免责声明:本站内容仅供个人学习与研究,严禁用于商业或非法目的。请在下载后24小时内删除相应内容。继续浏览或下载即表明您接受上述条件,任何后果由用户自行承担。

相关文章

ES报错 index read-only / allow delete

1月2日 · 2023年

Logstash实现邮箱及机器人日志告警

10月11日 · 2021年

ELK7.5部署与日志收集展示

2月12日 · 2020年

一键部署单机版 ELK

7月2日 · 2020年
0 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!

    Copyright © 2019- dqzboy.com. All Rights Reserved. 浅时光博客版权所有
    浅时光博客 | 精彩程序人生
    dqzboy.com
    复制成功,若要转载请务必保留原文链接!