Elasticsearch
话题列表 社区 Wiki 优质外文 招聘求职 Elasticsearch 实战教程 社区文档
登录
注册

笔记四十九: 管集群身份认证与用户鉴权

CrazyZard 的个人博客 / 0 / 1 / 创建于 5年前 / 更新于 5年前

系列文章
笔记一:前期 docker 环境搭建 笔记二:docer-compose 的安装以及编排文件 笔记三:基本概念-文档、索引和 REST API 笔记四:文档的基本 CRUD 与批量操作 笔记五:倒排索引 笔记六:通过 Analyzer 进行分词 笔记七:Search API 概览 笔记八:URI Search 详解 笔记九:Request Body 跟 Query DSL 简介 笔记十:Query String & Simple Query String 笔记十一: Dynamic Mapping 和常见字段类型 笔记十二: 显示 Mapping 设置与常见参数 笔记十三:多字段特性及 Mapping 中配置自定义 Analyzer 笔记十五:聚合分析简介 笔记十六:第一节自我测试 笔记十七:基于词项和基于全文的搜索 笔记十八:结构化搜索 笔记十九:搜索的相关性算分 笔记二十:Query & Filtering 与 多字符串多字段查询 笔记二十一:单字符串多字段查询:Dis Max Query 笔记二十二:单字符串多字段查询: Multi Match 笔记二十三:多语言及中文分词与检索 笔记二十五:使用 Search Template 和 Index Alias 笔记二十六:综合排序 Function Score Query 优化算分 笔记二十七:Term & Phrase Suggester 笔记二十八:自动补全与机遇上下文的提示 笔记二十九:配置跨集群搜索 笔记三十:集群分布式模型与选主与脑裂问题 笔记三十一:分片与集群的故障转移 笔记三十二:文档分布式存储 笔记三十三: 分片及其生命周期 笔记三十四:剖析分布式查询及相关性算法 笔记三十五:排序及 Doc Values & Field Data 笔记三十六:分页与遍历 From, Size,Search After & Scorll API 笔记三十七:处理并发读写操作 笔记三十八:Bucket & Metric 聚合分析及嵌套聚合 笔记三十九:Pipeline 聚合分析 笔记四十:聚合的作用范围及排序 笔记四十一:聚合的精准度问题 笔记四十二:对象及 Nested 对象 笔记四十三:文档的父子关系 笔记四十四:Update By Query & Reindex API 笔记四十五: Ingest Pipeline 与 Painless Script 笔记四十六:Elasticsearch 数据建模实例 笔记四十七:Elasticsearch 数据建模佳实践 笔记四十九: 管集群身份认证与用户鉴权 笔记五十:集群内部间的安全通信 笔记五十一:集群与外部间的安全通信 笔记五十二:集常见的集群部署方式 笔记五十三:Hot & Warm 架构与 Shard Filtering 笔记五十四:分片设定及管理 笔记五十五:如何对集群进行容量规划 笔记五十六:生产环境常用配置和上线清单 笔记五十七:监控 Elasticsearch 集群 笔记五十八:诊断集群的潜在问题 笔记五十九:解决集群 Yellow 与 Red 的问题 笔记六十:提升集群读性能 笔记六十一:提升集群写性能 笔记六十二:集群压力测试 笔记六十三:段合并优化及注意事项 笔记六十四:缓存及使用 Circuit Breaker 限制内存使用 笔记六十五:一些运维相关的建议

数据泄露

  • 5700 万用户数据泄漏
  • 1.08 亿条投注信息泄漏

    原因分析

  • ES 在默认安装后,不提供任何形式的安全防护
  • 错误的配置信息导致公网可以访问 ES 集群
    • elasticsearch.yml 文件中, server.host被错误的配置为 0.0.0.0

数据安全性的基本需求

  • 身份认证
    • 鉴定用户是否合法
  • 用户鉴权
    • 指定哪个用户可以访问哪个索引
  • 传输加密
  • 日志审计

一些免费的方案

Anthentication - 身份认证

  • 认证体系的几种类型
    • 提供用户名和密码
    • 提供秘钥或 Kerberos 票据
  • Realms : X-Pack 中的认证服务
    • 内置 Realms (免费)
      • File / Native (用户名密码保存在 Elasticsearch)
    • 外部 Realms (收费)
      • LDAP / Active Directory / PKI / SAML / Kerberos

RBAC - 用户鉴权

  • 什么是 RBAC:Role Based Access Control, 定义一个角色,并分配一组权限。权限包括索引 级,字段级,集群级的不同的操作。然后通过将角色分配给用户,使得用户拥有这些权限
    • User:The authenticated User
    • Role:A named set of permissions
    • Permission – A set of one or more privileges against a secured resource
    • Privilege – A named group of 1 or more actions that user may execute against a secured resource

Privilege

  • Cluster Privileges
    • all / monitor / manager / manage_index / manage_index_template / manage_rollup
  • Indices Privileges
    • all / create / create_index / delete / delete_index / index / manage / read /writeview_index_metadata

创建内置的用户和角色

  • 内置的角色与用户
    用户 角色
    elastic Supper User
    kibana The user that is used by Kibana to connect and communicate with Elasticsearch.
    logstash_system The user that is used by Logstash when storing monitoring information in Elasticsearch.
    beats_system The user that the different Beats use when storing monitoring information in Elasticsearch.
    apm_system The user that the APM server uses when storing monitoring information in Elasticsearch.
    Remote_monitoring_user The user that is used by Metricbeat when collecting and storing monitoring information in Elasticsearch.

使用 Security API 创建用户

POST /_security/user/lsk
{
      "password": "password",
      "roles": ["admin"],
      "full_name": "Crazy Zard",
      "email":"541306829@qq.com",
      "metadata": {
        "intelligence":7
      }
}

开启并配置 X-Pack 的认证与鉴权

  • 修改配置文件,打开认证于授权
    • bin/elasticsearch -E node.name=node0 -E cluster.name=geektime -E path.data=node0_data -E http.port=9200 -E xpack.security.enabled=true - E xpack.security.transport.ssl.enabled=true
  • 创建默认的用户和分组
    • bin/elasticsearch-password interactive
    • 使用docker时并进入到容器中 elasticsearch-setup-passwords interactive
  • 当集群开启身份认证之后,配置 Kibana
  • Demo
    • 创建一个Role,配置为某个索引只读权限 、创建一个用户,把用户加入Role

配置 Kibana

  • 修改 kibana.yml
    • elasticsearch.username: “kibana”
    • elasticsearch.password: “changeme”

创建 Role

创建用户

本作品采用《CC 协议》,转载必须注明作者和本文链接
快乐就是解决一个又一个的问题!
CrazyZard
版主 1.3k 声望
程序猿 @ 西湖心辰
暂无个人描述~
讨论数量: 1
排序:
时间 投票
ArvinHe
0 声望

开启并配置 X-Pack 的认证与鉴权 下面有一个命令错误了
bin/elasticsearch-password interactive
正确的应该是: bin/elasticsearch-setup-passwords interactive

5年前 评论
CrazyZard (楼主) 5年前
我看下

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
CrazyZard
程序猿 @ 西湖心辰
文章
118
粉丝
140
喜欢
356
收藏
616
排名:69
访问:11.4 万
私信
所有博文
文章归档
1 篇 2023 年 8 月 1 篇 2023 年 3 月 1 篇 2022 年 11 月 1 篇 2021 年 12 月 1 篇 2021 年 8 月 1 篇 2021 年 7 月 1 篇 2021 年 2 月 1 篇 2021 年 1 月 1 篇 2020 年 10 月 1 篇 2020 年 9 月 1 篇 2020 年 8 月 7 篇 2020 年 7 月 7 篇 2020 年 6 月 1 篇 2020 年 5 月 6 篇 2020 年 4 月 11 篇 2020 年 3 月 13 篇 2020 年 2 月 8 篇 2020 年 1 月 16 篇 2019 年 12 月 13 篇 2019 年 11 月 22 篇 2019 年 10 月 2 篇 2019 年 9 月 1 篇 2018 年 12 月
最新文章 最受欢迎
2年前 如何正确计算 openai stream 流式的 tokens 2年前 mysql 同步 es 详细步骤讲解 2年前 在 mapping 上新建索引字段,更新全部文档,随后发现这个好用的功能 3年前 0 == "无". 结果是 true 4年前 golang 的 http 请求池
66 连 TCP 这几个参数都不懂,回去等通知吧!(一) 58 世界上最好的学习法:费曼学习法 56 七大缓存经典问题 31 吃透了这些 Redis 知识点,面试官一定觉得你很 NB 18 基于 swoole 的laravel 聊天平台
博客标签
redis
4
 laravel
7
 collection
1
 elasticsearch
1
 docker
1
 docker-compose
2
 mysql
1
 middleware
1
 es
23
 phpredis
2
 Dingo API
1
 学习
1
 Form Request
1
 摘抄
2
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码 | 方长科技协力运营

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消