Elasticsearch安全認證

本版本使用6.8.4最新版7.6需jdk11

免費版本 tls 功能，可對通訊進行加密檔案和原生 realm，可用於建立和管理使用者基於角色的訪問控制，可用於控制使用者對集群 api 和索引的訪問許可權；通過針對 kibana spaces 的安全功能，還可允許在 kibana 中實現多租戶。收費版本包含更豐富的安全功能，比如：日誌審計 ip過濾 ldap、pki和活動目錄身份驗證單點登入身份驗證（saml、kerberos）基於屬性的許可權控制欄位和文件級別安全性靜態資料加密支援

需要同時在es和kibana端開啟安全認證功能

在elasticsearch.yml配置檔案中加入

xpack.security.enabled: true

在免費版本中此項設定是禁用的

1.生成證書

bin/elasticsearch-certutil ca

2.為集群中的每個節點生成證書和私鑰

/elasticsearch-certutil cert --ca elastic-stack-ca.p12

回車即可，若建立密碼切記一致

3.將證書拷貝到elasticsearch的每個節點下面config/certs目錄下

elastic-certificates.p12

4.配置elasticsearch.yml

xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

5.如果在建立證書的過程中加了密碼，需要將你的密碼加入到你的elasticsearch keystore中去。每個節點都需要

bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

啟動es

bin/elasticsearch-setup-passwords interactive

elastic 賬號：擁有 superuser 角色，是內建的超級使用者。 kibana 賬號：擁有 kibana_system 角色，使用者 kibana 用來連線 elasticsearch 並與之通訊。kibana 伺服器以該使用者身份提交請求以訪問集群監視 api 和 .kibana 索引。不能訪問 index。 logstash_system 賬號：擁有 logstash_system 角色。使用者 logstash 在 elasticsearch 中儲存監控資訊時使用。 beats_system賬號：擁有 beats_system 角色。使用者 beats 在 elasticsearch 中儲存監控資訊時使用。

elastic是超級使用者

在kibana.yml中配置

elasticsearch.username: "***"

elasticsearch.password: "***"

如果你不想將使用者id和密碼放在kibana.yml檔案中明文配置，可以將它們儲存在金鑰庫中。執行以下命令以建立kibana金鑰庫並新增配置

bin/kibana-keystore create bin/kibana-keystore add elasticsearch.name bin/kibana-keystore add elasticsearch.password

#刪除bin/kibana-keystore remove ***x

重啟kibana

Elasticsearch安全認證

elasticsearch安全重啟

ElasticSearch集群安全保障

elasticsearch如何安全重啟節點續

Elasticsearch安全認證

elasticsearch安全重啟

ElasticSearch集群安全保障

elasticsearch如何安全重啟節點 續

相關推薦

elasticsearch如何安全重啟節點續