文档章节

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

8446666
 8446666
发布于 2017/02/15 10:41
字数 1707
阅读 349
收藏 0
点赞 0
评论 0

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

信息发布:soゝso 发布日期:2017-02-10 11:24 热度:370 分享到:

前言:

用  Elasticsearch  的同学都知道,最近一段时间  Elasticsearch  像中毒一样全国、全世界都发生的  Elasticsearch  被删库,有的甚至被加密后敲诈比特币。

当然我也难逃删库的命运,我200GB 的爬虫数据被删,我所在的公司只开放了公司IP 才能访问,也被删除了整个库。

那么问题来了,我们为什么要开放外网访问Elasticsearch?无外乎以下几点原因。

  1. 一些插件监听使用,方便及时了解线上数据的情况,比如说  head  插件等。
  2. 为了HTTP 直接访问,有的同学考虑到通过后台TCP 查询,然后返回数据,还不如直接以Elasticsearch 作为服务直接  HTTP  查询提升效率。
  3. 还有一些同学是因为Elasticsearch 和被访问的工程不在一个局域网内。
  4. 。。。。等

我的解决方案:

我是Centos Linux 系统,我直接用  iptables  限制  IP  访问,虽然不华丽,但是明显解决了。有个弊端就是在家里由于北方的宽带  IP  老变,经常要去加IP规则,比较痛苦。

但是我收到了阿里发的“【高危漏洞通告】  ElasticSearch  未授权访问漏洞”以下内容邮件:

  1. 尊敬的 ser****@sojson.com:
  2. 您好,接上级主管部门通知,您的主机123.**.**.**安装有elasticsearch,目前elasticsearch有部分漏洞已被公布,存在信息泄露的隐患,请及时整改。如无法整改,经主管单位核实后,根据网络安全法的规定,会有关停主机的风险。
  3. 以下整改措施仅供参考:
  4. 一、监管部门加固方案
  5. (一)elasticsearch自身安全设置
  6. 1、为elasticsearch增加登录验证,可以使用官方推荐的shield插件,该插件为收费插件,可试用30天,免费的可以使用elasticsearch-http-basic,searchguard插件。插件可以通过运行Biplugin install [github-name]/repo-name。同时需要注意增加验证后,请勿使用弱口令。
  7. 2、架设nginx反向代理服务器,并设置http basic认证来实现elasticsearch的登录认证。
  8. 3、默认开启的9200端口和使用的端口不对外公布,或架设内网环境。
  9. 4、elasticsearch 早期版本在“CVE中文漏洞信息库”网站上已有部分漏洞被披露,建议使用1.7.1以上版本或使用最新版本程序。
  10. (二)大数据安全
  11. 1、设置HADOOP为基础的大数据信息系统,只允许或通过特定的IP进行访问,同时该IP地址进行安全设置(使用防病毒程序,设置复杂密码,安装最新漏洞补丁,使用应用程序防火墙等)
  12. 2、为NOSQL这类大数据数据库(如mongodb,redis)设置复杂密码
  13. 3、在大数据信息系统建设完毕后及时进行登记保护测评,并定期对该类大数据信息系统进行安全检查。
  14. (三) 服务器安全设置
  15. 1、在服务器端安装系统防护软件,实现对操作系统加固和WEB业务系统及网站的防护监测,实现对信息系统的立体化监测和防护
  16. 2、对服务器中开启的服务(如数据库、FTP、web服务等)设置复杂密码,并定期更换,增加系统安全性
  17. 3、及时更新服务器漏洞补丁,防止漏洞被利用
  18. 4、在互联网出口设置防火墙访问策略,只允许特定需要对外访问的端口通过,其他异常访问全部阻断
  19. 5、对重要信息系统服务、数据信息、资产等进行黑白名单和权限访问设置。

所以我就按照Email内容着手去做安全。

首先收费的shield 肯定是排除的,其次Elasticsearch-http-basic 也随之排除,因为没我对应的版本,详细对应版本请看下面表格:

Version Mapping:

Http Basic Plugin elasticsearch
v1.5.1(master) 1.5.1, 1.5.2, 1.6.0, 1.7.0
v1.5.0 1.5.0
v1.4.0 1.4.0
v1.3.0 1.3.0
v1.2.0 1.2.0
1.1.0 1.0.0
1.0.4 0.90.7

github地址:https://github.com/Asquera/elasticsearch-http-basic

最后选用方案是比较简单的,采用Nginx http-basic ,我是采用域名的方式访问,隐蔽了一层。

Nginx Http-basic 方案步骤实施

一、选用一个域名,并且配置转发。

  1. upstream es.sojson.com{
  2. server 127.0.0.1:9981 weight=1 max_fails=2;
  3. server 127.0.0.1:9982 weight=1 max_fails=2;
  4. server 127.0.0.1:9983 weight=1 max_fails=2;
  5. server 127.0.0.1:9984 weight=1 max_fails=2;
  6. server 127.0.0.1:9985 weight=1 max_fails=2;
  7. }
  8. location ~* / {
  9. proxy_set_header Host $host;
  10. proxy_set_header X-Real-IP $remote_addr;
  11. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  12.  
  13. proxy_set_header Upgrade $http_upgrade;
  14. proxy_set_header Connection "upgrade";
  15.  
  16. if ($host ~* es\.sojson\.com) {
  17. proxy_pass http://es.sojson.com;
  18. }
  19. }

因为我五个点都加了插件,所以可以做个负载均衡。

二、配置帐号密码访问方式。

  1. location ~* / {
  2. proxy_set_header Host $host;
  3. proxy_set_header X-Real-IP $remote_addr;
  4. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  5.  
  6. proxy_set_header Upgrade $http_upgrade;
  7. proxy_set_header Connection "upgrade";
  8.  
  9. #关键点,配置帐号密码
  10. auth_basic "login";#提示信息
  11. auth_basic_user_file /usr/local/nginx/conf/vhosts/password/es; #密码文件(注意最好别挑事,直接写绝对路径,别相对路径)
  12. autoindex on;
  13.  
  14. if ($host ~* es\.sojson\.com) {
  15. proxy_pass http://es.sojson.com;
  16. }
  17. }

三、配置密码帐号文件。

上面第二点配置中有一个auth_basic_user_file  选项,这个选项就是配置的密码访问规则。密码是采用Crypt (all Unix servers)  方式密的,本站有生成工具:http://www.sojson.com/htpasswd.html 。如下图:

然后把生成的内容复制到上面配置的路径文件中/usr/local/nginx/conf/vhosts/password/es;

  1. vi /usr/local/nginx/conf/vhosts/password/es

然后把生成的admin:PJdMvp0Utzclm 插入进去,保存之前看前面有没有丢了字母,我老会丢一个第一个字母,导致坑了一会。保存退出重启  Nginx  即可。

四、测试访问

访问之前配置好的域名es.sojson.com 。出现以下画面后输入配置好的帐号密码(明文)测试通过。

五、关闭外网访问。

  1. elasticsearch$ vi config/elasticsearch.yml

然后修改部分配置,只需要配置network.host : 127.0.0.1 即可

  1. #network.publish_host: 0.0.0.0
  2. #networt.bind_host: 0.0.0.0
  3. #network.host: 0.0.0.0
  4. #只要配置这个即可
  5. network.host: 127.0.0.1
  6. #network.publish_host: 127.0.0.1

重启  Elasticsearch  ,打完收工。想要更安全一点,可以再加上  iptables  ,然后再加上访问频率限制,防止暴力破解。

本文主题

Elasticsearch Elasticsearch安全 Elasticsearch教程 Nginx iptables

版权所属:SO JSON 在线工具

原文地址:http://www.sojson.com/blog/213.html

转载时必须以链接形式注明原始出处及本声明。

© 著作权归作者所有

共有 人打赏支持
8446666

8446666

粉丝 23
博文 9
码字总数 10298
作品 1
东城
技术主管
ELK日志服务器的快速搭建并收集nginx日志

今天给大家带来的是开源实时日志分析 ELK , ELK 由 ElasticSearch 、 Logstash 和 Kiabana 三个开源工具组成。官方网站:https://www.elastic.co 其中的3个软件是: Elasticsearch 是个开源分...

xitaotao
07/04
0
0
ELK日志系统:Filebeat使用及Kibana如何设置登录认证

根据elastic上的说法: Filebeat is a lightweight, open source shipper for log file data. As the next-generation Logstash Forwarder, Filebeat tails logs and quickly sends this in......

顶风走千里
04/20
0
0
centos7上elastic search安装填坑记

本文原载于个人微信公众号 CodeSheep,欢迎订阅 ↓↓↓ 下载elastic search 5.3.0 启动ES 按照道理应该就可以了,然而接下来各种坑一一出现,分别阐述 错误1: solutions:由于elasticsearch...

CodeSheep
01/08
0
0
日志分析轻量级套餐 : logstash + elasticsearch

logstash,elasticsearch,kibana三件套 elk是指logstash,elasticsearch,kibana三件套,这三件套可以组成日志分析和监控工具 注意: 关于安装文档,网络上有很多,可以参考,不可以全信,而且三...

哎哎哎
2014/04/24
0
0
elasticsearch-head 安装介绍

elasticsearch-head 是用于监控 Elasticsearch 状态的客户端插件,包括数据可视化、执行增删改查操作等。elasticsearch-head 插件的安装在 Linux 和 Windows 没什么区别,安装之前确保当前系...

BeckJin
05/19
0
0
CentOS7.3下ELK日志分析系统集群搭建

Elasticsearch是个基于Lucene实现的开源、分布式、restful的全文本搜索引擎,此外他还是一个分布式实时文档存储,其中每个文档的每个filed均是可被索引的数据,且可被搜索,也是一个带实时分...

wujunqi1996
07/14
0
0
小白都会超详细--ELK日志管理平台搭建教程

目录 一、介绍 二、安装JDK 三、安装Elasticsearch 四、安装Logstash 五、安装Kibana 六、Kibana简单使用 系统环境:CentOS Linux release 7.4.1708 (Core) 当前问题状况 开发人员不能登录线...

渣渣辉
07/15
0
0
Nginx + Naxsi + Nxapi + ElasticSearch + Kibana 安装

Author: Xu FC Platform: CentOS 7 -- Linux localhost.localdomain 3.10.0-693.21.1.el7.x8664 #1 SMP Wed Mar 7 19:03:37 UTC 2018 x8664 x8664 x86_64 GNU/Linux 安装依赖 安装 libssl: ......

捞小虾
05/07
0
0
初探 ELK - 每天5分钟玩转 Docker 容器技术(89)

在开源的日志管理方案中,最出名的莫过于 ELK 了。ELK 是三个软件的合称:Elasticsearch、Logstash、Kibana。 Elasticsearch 一个近乎实时查询的全文搜索引擎。Elasticsearch 的设计目标就是...

CloudMAN
2017/11/03
0
0
logstash、elasticsearch、kibana搭建日志平台

1、下载logstash a、官方下载地址:https://www.elastic.co/downloads/logstash b、解压:tar -xzvf logstash-5.1.1.tar.gz c、设置用户测试的配置文件:vim logstatsh_test.conf,编辑内容如...

binhu
05/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

用axios.all处理并发请求

如果我们需用在两个接口同时完成后在执行一些逻辑,我们可以使用axios.all处理并发请求: function getUserAccount() { return axios.get('/user/12345');}function getUserPermissio...

JamesView
15分钟前
0
0
SpringCloud 微服务 (十六) 服务追踪 Zipkin

问题 在服务中,有一个接口,该A接口中又调用了其他服务的B、C、D接口,出现一个请求耗时大的问题,这时候并不知道该B、C、D接口中哪个接口造成的耗时量,然后比如确定C服务接口出现的耗时量大,但...

___大侠
26分钟前
0
0
Java面试基础篇——第八篇:抽象类与接口的区别

1.抽象类 抽象类:如果一个类中包含有抽象方法,或这个类使用abstract关键字修饰,则称这个类是抽象类。 抽象方法是什么呢?抽象方法就是指用abstract关键字修饰的方法。 需要注意的是:抽象...

developlee的潇洒人生
42分钟前
0
0
jsoup 相关资料

1.jsoup 2.Jsoup概述 3.jsoup入门 4.jsoup Java HTML Parser 1.11.3 API

IT追寻者
43分钟前
0
0
JPA @MappedSuperclass 注解说明

基于代码复用和模型分离的思想,在项目开发中使用JPA的@MappedSuperclass注解将实体类的多个属性分别封装到不同的非实体类中。 1.@MappedSuperclass注解只能标准在类上:@Target({java.lang....

海博1600
今天
0
0
【一】Scala Configuration 相关API

Play使用了 Typesafe config library,但是也提供了一个有着更多Scala高级特性的的 Configuration 封装。不熟悉Typesafe配置的开发者可以移步 configuration文件的语法和特性文档。 读取配置...

Landas
今天
1
0
使用cookie技术 记住账号

1. 效果 2. 实现过程 2.1 前端 将用户的选中传递给后台 这个参数的获取是 参考:https://my.oschina.net/springMVCAndspring/blog/1860498 // var rememberLogin = $("#rememberLoginId").i...

Lucky_Me
今天
1
0
《趣谈网络协议》02之网络分层的真实含义

一、提出问题 1.提出问题 当你听到什么二层设备、三层设备、四层 LB 和七层 LB 中层的时候,是否有点一头雾水,不知道这些所谓的层,对应的各种协议具体要做什么“工作”? 2.这四个问题你弄...

aibinxiao
今天
2
0
Python3学习日志二 Python中的集合set和字典dict

1.集合set 定义一个集合set 我们可以看到定义集合set有两种不同的形式,如果要定义一个空的集合set不能用{}而是要用set();另外,集合是无序的,而且set中的元素是不可重复的,如果你定义了一...

Mr_bullshit
今天
0
0
adb 操作指令详解

ADB,即 Android Debug Bridge,它是 Android 开发/测试人员不可替代的强大工具,也是 Android 设备玩家的好玩具。 注:有部分命令的支持情况可能与 Android 系统版本及定制 ROM 的实现有关。...

孟飞阳
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部