6.ElasticSearch agrega un mecanismo de verificación de contraseña (evitando muchos pequeños errores)
1. Verifique si la versión actual admite funciones de seguridad.
2. Si habilitar la configuración de seguridad.
3. Algunas verificaciones basadas en FIPS.
4. Configurar la seguridad de la transmisión de comunicaciones entre nodos.
5. Configure la contraseña del usuario integrado/
6. Seleccione el tipo de dominio para la autenticación del usuario.
7. Configura roles y usuarios para controlar el acceso a Elasticsearch.
8. Habilite la auditoría para rastrear las interacciones intentadas y exitosas con el clúster de Elasticsearch.
1. Verifique si la versión actual admite funciones de seguridad.
2. Si habilitar la configuración de seguridad.
3. Configurar la seguridad de la transmisión de comunicaciones entre nodos.
4. Establezca la contraseña para el almacén de claves SSL y el almacén de confianza.
5. Reiniciar el clúster ES es una configuración válida.
6. Configurar la contraseña del usuario integrado
7. Modificar la configuración de kibana.
Pasos específicos:
La política de seguridad de Elasticsearch requiere la compatibilidad con el complemento X-Pack, pero las versiones 7 y superiores ya tienen X-Pack integrado. x, por lo que no se requieren operaciones adicionales.
Xpack.security.enabled controla la apertura de la configuración de seguridad. Este parámetro está establecido en falso de forma predeterminada. Para habilitar la política de seguridad, este parámetro debe configurarse en todos los clústeres.
Cuando simplemente abres la configuración de seguridad y luego inicias el servicio, se generará un error.
Esto se debe a que la capa de red de transporte se utiliza para la comunicación interna entre los nodos del clúster. Cuando la seguridad está habilitada, se debe utilizar TLS para garantizar que la comunicación entre nodos esté cifrada. La configuración de una política de seguridad para la comunicación entre nodos requiere dos pasos:
La forma recomendada de verificar la autenticidad del certificado en un clúster de Elasticsearch es confiar en la autoridad certificadora (CA) que firmó el certificado. De esta manera, después de que un nodo se une al clúster, solo necesita usar un certificado firmado por la misma CA para permitir automáticamente que el nodo se una al clúster. Además, el certificado puede contener un nombre alternativo de sujeto correspondiente a la dirección IP y el nombre DNS del nodo para que se pueda realizar la verificación del nombre de host.
*Cree una autoridad de certificación para el clúster de Elasticsearch y siga los siguientes pasos para crear un certificado de autoridad de CA para el clúster.
Todo el proceso creativo es así. Después de ingresar el comando, la consola generará la descripción de la información del comando. En este momento, debe ejecutar {①} primero y luego {②}.
①: Esta ubicación establece la dirección y el nombre de salida del archivo. El nombre predeterminado es elastic-stack-ca.p12. Este archivo es un almacén de claves PKCS#12 que contiene el certificado público de la CA y la clave privada utilizada para firmar el certificado para cada nodo.
(También puede ingresarlo directamente sin ingresar. El archivo elastic-certificates.p12 se generará en el directorio actual, que está en el directorio elasticsearch-7.6.2 y está en el mismo nivel que bin .
Luego cree una nueva carpeta de certificados en el directorio elasticsearch-7.6.2/config y copie el archivo elastic-certificates.p12 a la carpeta de certificados)
②: Configure. la contraseña del certificado en esta ubicación. Planeamos agregar más nodos al clúster en el futuro. Recuerde su contraseña.
Generar certificados para nodos en el cluster de Elasticsearch.
Utilice el siguiente nombre para generar el certificado del nodo de compilación utilizado por el clúster. Elastic-stack-ca.p12 genera un certificado ca para el paso anterior.
Todo el proceso creativo es así. De manera similar al contenido anterior, después de ingresar el comando, la consola generará una descripción informativa del comando.
Ingrese la contraseña de elastic-stack-ca.p12 y luego ejecute el comando en la carpeta elasticsearch-7.6.2:
Entonces debe ejecutar {①} primero, y luego { ②}, y finalmente ejecuta {③}.
①: Debe ingresar aquí la contraseña del certificado de autorización de CA elastic-stack-ca.p12.
②: esta ubicación es donde se debe generar el certificado.
③: Esta ubicación es la contraseña del certificado. Utilice una contraseña en blanco para ingresar al automóvil directamente.
De forma predeterminada, no hay información del nombre de host en el certificado generado por elasticsearch-certutil. Esto significa que el certificado se puede utilizar en cualquier nodo del clúster, pero la verificación del nombre de host debe estar desactivada.
Copie el archivo elastic-certificates.p12 (solo este archivo es necesario) a un directorio en el directorio de configuración de Elasticsearch en cada nodo. Por ejemplo, lo puse en el directorio config/certs de cada nodo.
Luego modifique la configuración de elasticsearch.yml de cada nodo. Agregue los siguientes parámetros:
xpack security. enable estricto Para verificar el nombre de host, debe configurar este parámetro en completo. En el ejemplo anterior, información como IP y DNS no se ingresaron en el certificado, por lo que no utilizamos una verificación estricta del host.
Si no ingresó una contraseña al crear el certificado, luego de reiniciar el clúster en este momento, si el usuario elástico no tiene una contraseña, se utilizará la contraseña de inicio predeterminada. La contraseña de inicio es una contraseña temporal que le permite ejecutar la herramienta para configurar todas las contraseñas de usuario integradas.
Si ingresó una contraseña al crear el certificado, puede configurarla mediante los siguientes métodos:
Pasos de reinicio seguro:
1. programa.
2. Desactive la asignación de fragmentación del clúster y ejecute manualmente post/_flush/synchronized.
3. Ver el proceso y finalizarlo
4. Reiniciar el nodo
5. Confirmar si el proceso se inició,
6. Y reinicie la asignación de fragmentos del clúster.
7. Espere a que se complete la recuperación y el estado de salud del clúster se volverá verde.
Pausar el programa escribiendo es.
curl-XPUT '/2065 438+09/06/20/% E5 % 9C % A8 Investigación de elasticidad 6.8% E5 % 8F % 8A % E4 % BB % A5 % E4 % B8 % 8A % E7 % 89% 88% E6 % 9C % AC % E5 % BC % 80% E5 % 90% AF % E5 % AE % 89% E5 % 85% A8 % E8 % AE % A4 % E8 % AF % 81% E5 % 8A