我之前写了ELK+shield的部署文档,由于shield是商业收费的,很多人都推崇开源项目search-guard来做ELK的安全组件,准确来说是elasticsearch的安全组件。search-guard的部署很简单,但是开始着手弄,完全不了解的情况下还是会踩一些坑,加上网上对新版本使用介绍少,所以我决定写一遍search-guard的部署文档。 
search-guard插件包含两部分,search-guard-ssl和search-guard-2两个插件(官网提供了一个特殊的包,包含了search-guard和elasticsearch的一个压缩包,里面东西齐全,但是有点乱,还有windows的执行文件,所以我还是一步步安装插件)。 
我们先安装search-guard-ssl。按照以下步骤安装:

  • 安装search-guard-ssl插件

    切换到elasticsearch的目录(一般是/usr/share/elasticsearch) 
    命令安装插件:

sudo bin/plugin install com.floragunn/search-guard-ssl/2.3.4.16
  • 1
  • 1
 注意版本,这里elasticsearch的版本就是2.3.4,它是要跟search-guard的版本进行对应的。
  • 克隆search-guard-ssl项目,生成相关证书

    克隆项目命令:

sudo git clone https://github.com/floragunncom/search-guard-ssl.git
  • 1
  • 1

一般来说创建数字证书流程如下: 
创建证书流程: 
1.创建ROOT CA(根证书/CA认证机构) 
2.应用服务器创建CSR(证书签名请求文件),同时会创建好自己的密钥对(公钥和私钥) 
3.将CSR发送到CA认证机构 
4.CA机构将返回一个数字签名证书

首先切换到刚刚克隆的search-guard-ssl的项目目录下 
修改etc目录下的配置文件 
example-pki-scripts/etc/root-ca.conf 
example-pki-scripts/etc/signing-ca.conf 
根据自己情况改为公司相关信息等 
利用脚本,写入密码,生成根证书

sudo ./gen_root_ca.sh paswd paswd
  • 1
  • 1

search-guard-ssl 还提供了以下脚本 
gen_node_cert.sh 
可以修改成自己的信息,生成相应服务器证书,里面包含了上述生成数字证书的过程。 
gen_client_node_cert.sh 
同理生成客户端数字证书。这里记住-dname参数后面的信息,后面认证客户端,就靠这个。 
修改完脚本,就可以执行脚本,就会生成相关证书了。 
- 配置ssl 
将生成的证书,keystore.jks 和 truststore.jks复制到/etc/elasticsearch目录下,然后配置elasticsearch.yml添加配置 
searchguard.ssl.transport.enabled: true 
searchguard.ssl.transport.keystore_filepath: example-keystore.jks 
searchguard.ssl.transport.keystore_password: paswd 
searchguard.ssl.transport.truststore_filepath: truststore.jks 
searchguard.ssl.transport.truststore_password: paswd 
searchguard.ssl.transport.enforce_hostname_verification: false 
searchguard.ssl.transport.resolve_hostname: false

http配置,这里我只是为了测试方便,配置完,应该设置为true

searchguard.ssl.http.enabled: false 
searchguard.ssl.http.keystore_filepath: example-keystore.jks 
searchguard.ssl.http.keystore_password: paswd 
searchguard.ssl.http.truststore_filepath: truststore.jks 
searchguard.ssl.http.truststore_password: paswd

searchguard.allow_all_from_loopback: true

这里注意,下面的配置一定要和签的客户端证书一致,否则不能插入配置

searchguard.authcz.admin_dn: 
- CN=example, OU=client, O=client, L=Test, C=DE

安装search-guard-2插件

  • 安装插件
sudo bin/plugin install -b com.floragunn/search-guard-2/2.3.4.4
  • 1
  • 1

这里同样,版本注意与elasticsearch对应。

  • 修改配置并插入

切换目录到/usr/share/elasticsearch/plugins/search-guard-2/ 
修改该目录下的sgconfig目下的配置文件 
这里和shield类似,修改用户,角色,角色映射几个配置文件即可。

注意,这里用户密码,可以通过plugins下的tools/hash.sh工具生成密码的hash加密文本

配置文件修改完成后,通过命令将配置插入到elasticsearh中,

sudo tools/sgadmin.sh -cd sgconfig/ -ks sgconfig/example-keystore.jks  -kspass paswd -ts sgconfig/truststore.jks -tspass paswd -nhnv
  • 1
  • 1

需要注意的是这时候elasticsearch的服务必须是运行状态。如果插入配置失败,检查配置文件,比如前面提到的,生成客户端证书的时候dname的参数 必须与配置文件中searchguard.authcz.admin_dn:下的认证列表进行对应。

接下来就是配置kibana和logstash的了。

注意: 
为了logstash通过ssl连接elasticsearch,需要将elasticsearch的证书导入到Java的cacerts中 
其中要求必须是 x509标准的证书

错误提示如:keytool 错误: java.lang.Exception: 所输入的不是 X.509 证书

这时候就需要把我们的jks的证书做如下转换 
sudo keytool -export -alias example -file example.der -keystore example.jks 
sudo openssl x509 -inform der example.der -out example.pem 
sudo openssl x509 -outform der -in example.pem -out example.crt 
sudo keytool -importcert -file example.crt -alias example -keystore cacerts -storepass changeit

(转)Elasticsearch search-guard 插件部署的更多相关文章

  1. Elasticsearch 5.0 安装 Search Guard 5 插件 (五)

    一.Search Guard 简介 Search Guard  是 Elasticsearch 的安全插件.它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearc ...

  2. Elasticsearch 5.0 安装 Search Guard 5 插件

    一.Search Guard 简介 Search Guard  是 Elasticsearch 的安全插件.它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearc ...

  3. (转) Elasticsearch 5.0 安装 Search Guard 5 插件

    一.Search Guard 简介 Search Guard  是 Elasticsearch 的安全插件.它为后端系统(如LDAP或Kerberos)提供身份验证和授权,并向Elasticsearc ...

  4. elasticsearch安装与使用(5)-- search guard安装与配置

    一.安装search guard插件必须要安装两部分: ①search-guard-xx ②search-guard-ssl (XX指的是与elasticsearch引擎对应的版本) github地址 ...

  5. elasticsearch 6.x 安装search guard

    前言 es之前版本一直无用户验证功能,不过官方有提供一x-pack,但是问题是付费.在es的6.3.2版本中,已经集成了x-pack,虽然es团队已经对x-pack开源,但是在该版本中如果需要使用到安 ...

  6. ELK之安装了search guard认证后安装elasticsearch-head

    安装searc guard参考https://www.cnblogs.com/minseo/p/10576126.html 安装elasticsearch-head参考 https://www.cnb ...

  7. ELK之elasticsearch6安装认证模块search guard

    参考:https://www.cnblogs.com/marility/p/9392645.html 1,安装环境及软件版本 程序 版本 安装方式  elasticsearch  6.3.1  rpm ...

  8. Elasticsearch介绍及安装部署

    本节内容: Elasticsearch介绍 Elasticsearch集群安装部署 Elasticsearch优化 安装插件:中文分词器ik 一.Elasticsearch介绍 Elasticsear ...

  9. ELK教程1:ElasticSearch集群的部署ELK

    在分布式系统中,应用数量众多,应用调用链复杂,常常使用ELK作为日志收集.分析和展示的组件.本篇文章将讲讲解如何部署ELK,然后讲解如何使用Filebeat采集Spring Boot的日志输出到Log ...

  10. Elasticsearch 5.0Head插件

    Elasticsearch 5.0 —— Head插件部署指南   使用ES的基本都会使用过head,但是版本升级到5.0后,head插件就不好使了.下面就看看如何在5.0中启动Head插件吧! 官方 ...

随机推荐

  1. MFC 中的 Value 和 Control

    一.變量類型不同:control 型变量是这个控件所属类的一个实例(对象),控制對象的變量.即變量代表對象本身.代表這個人!value 是用来传递数据,不能对控件进行其它的操作.向變量傳遞數據.代表這 ...

  2. 《Java程序设计》实验三(敏捷开发与XP实践)20155214 实验报告

    <JAVA程序设计> 实验三(敏捷开发与XP实践) 实验内容 XP基础 XP核心实践 相关工具 实验要求 没有Linux基础的同学建议先学习<Linux基础入门(新版)>< ...

  3. 2017-2018-1 20155232 《信息安全系统设计基础》第四周学习总结以及课上myod练习补充博客

    2017-2018-1 20155232 <信息安全系统设计基础>第四周学习总结以及课上myod练习补充博客 课上myod练习 1 参考教材第十章内容 2 用Linux IO相关系统调用编 ...

  4. 20145234黄斐《java程序设计》第三周

    教材学习内容总结 类与对象 定义:对象,与过程相对. Java中变量有2种类型,一个是基本类型,另一个则是类类型.基本类型在之前学过,本次学习类类型.使用Java撰写程序几乎都是在使用对象,要产生对象 ...

  5. Android线程管理(三)——Thread类的内部原理、休眠及唤醒

    线程通信.ActivityThread及Thread类是理解Android线程管理的关键. 线程,作为CPU调度资源的基本单位,在Android等针对嵌入式设备的操作系统中,有着非常重要和基础的作用. ...

  6. 「日常训练」The Necklace(UVA-10054)

    代码 for(int i=0; i!=n; ++i) { int u = cin.nextInt(); int v = cin.nextInt(); edges.add(new Edge(u,v)); ...

  7. Java EE平台介绍(译)

    Java EE平台介绍 2.1 企业应用总览 这一部分将对企业应用及其设计和开发进行简单介绍. 就像之前说的,Java EE 平台是为了帮助开发者开发大规模.多层次.可伸缩.服务可靠.网络安全的应用而 ...

  8. Angular7运行机制--根据腾讯课堂米斯特吴 《Angular4从入门到实战》学习笔记分析完成

  9. hive的内置函数和自定义函数

    一.内置函数 1.一般常用函数 .取整函数 round() 当传入第二个参数则为精度 bround() 银行家舍入法:为5时,前一位为偶则舍,奇则进. .向下取整 floor() .向上取整 ceil ...

  10. 高可用Kubernetes集群-5. 部署flannel网络

    七.部署flannel网络 kubernetes支持基于vxlan方式的flannel与weave网络,基于BGP路由的Calico网络,本节采用flannel网络. Flannel网络采用etcd等 ...