本篇內(nèi)容介紹了“Shield的安裝與配置步驟”的有關(guān)知識,在實際案例的操作過程中,不少人都會遇到這樣的困境���,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧��!希望大家仔細(xì)閱讀��,能夠?qū)W有所成�!
目前成都創(chuàng)新互聯(lián)公司已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名��、網(wǎng)絡(luò)空間��、網(wǎng)站托管維護�、企業(yè)網(wǎng)站設(shè)計、常德網(wǎng)站維護等服務(wù)��,公司將堅持客戶導(dǎo)向���、應(yīng)用為本的策略,正道將秉承"和諧���、參與�����、激情"的文化�,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展�����。
一�����、簡介
Shield是Elasticsearch的一個插件�����,它能夠很容易的�保證你的Elasticsearch集群的安全性���。
Shield的功能:
1.用戶認(rèn)證
2.SSL/TLS的加密身份驗證
3.審計
二�、�安裝
我使用的shield-1.3的版本
安裝Elasticsearch集群
Shield是需要licese的�����,我們只有在offline機器上安裝使用
a.下載license https://download.elastic.co/elasticsearch/license/license-latest.zip
[root@hftclclw0001 usr]# pwd
/usr
[root@hftclclw0001 usr]# wget https://download.elastic.co/elasticsearch/license/license-latest.zip
...
...
b. 下載 shield https://download.elastic.co/elasticsearch/shield/shield-latest.zip
[root@hftclclw0001 usr]# pwd
/usr
[root@hftclclw0001 usr]# wget https://download.elastic.co/elasticsearch/shield/shield-latest.zip
...
...
c. 安裝license 和 shield
注意/usr/share/elasticsearch/ 是elasticsearch的安裝目錄
是本地文件的協(xié)議前綴
[root@hftclclw0001 usr]# /usr/share/elasticsearch/bin/plugin -i license -u file:///usr/license-latest.zip
...
...
[root@hftclclw0001 usr]# /usr/share/elasticsearch/bin/plugin -i license -u file:///usr/shield-latest.zip
...
...
校驗:
[root@hftclclw0001 usr]# ll /usr/share/elasticsearch/plugins/
...
...
license
shield
...
[root@hftclclw0001 usr]# curl -XGET ' => 此時是無法訪問的,需要身份驗證
...
首先創(chuàng)建一個管理員
[root@hftclclw0001 plugins]# /usr/share/elasticsearch/bin/shield/esusers useradd es_admin -r admin
...
[root@hftclclw0001 usr]# curl -XGET -u es_admin:{passwd} 'http://{ip}:9200/'三��、消息認(rèn)證(enable message authentication)
https://www.elastic.co/guide/en/shield/shield-1.3/enable-message-authentication.html
�消息驗證會驗證消息傳輸過程中是否被篡改等
1.生成key
[root@hftclclw0001 shield]# /usr/share/elasticsearch/bin/shield/syskeygen
...
會生成 ES_HOME/config/shield/system_key
然后再elasticsearch.yml 中配置
shield.system_key.file=
2.復(fù)制key到其他各個節(jié)點上���,各個節(jié)點必須相同
四�����、用戶認(rèn)證配置(setting up user authentication)
為了獲取受限資源權(quán)限���,用戶必須提供身份校驗信息。如密碼等�����。
1.esusers
是shield內(nèi)置一種方式
https://www.elastic.co/guide/en/shield/shield-1.3/esusers.html
https://www.elastic.co/guide/en/shield/shield-1.3/_managing_users_in_an_esusers_realm.html
添加用戶(Adding User)
[root@hftclclw0001 plugins]# /usr/share/elasticsearch/bin/shield/esusers useradd test_1
會提示讓你輸入密碼�����,
[root@hftclclw0001 plugins]# /usr/share/elasticsearch/bin/shield/esusers useradd test-1 -p test_1
這樣就會創(chuàng)建一個用戶test_1 密碼是 test_1
[root@hftclclw0001 plugins]# /usr/share/elasticsearch/bin/shield/esusers list
#【userid】: 【roleid】
...
test_1 : -
...
默認(rèn)角色是 - 也沒有啥權(quán)限�,稍后會說明角色與權(quán)限
修改用戶密碼(Managing User Passwords)
[root@hftclclw0001 plugins]# /usr/share/elasticsearch/bin/shield/esusers passwd test-1 -p test_1
2. 基于角色的訪問控制
https://www.elastic.co/guide/en/shield/shield-1.3/configuring-rbac.html
定義角色(Defining Roles)
roles.yml
[root@hftclclw0001 shield]# pwd
/etc/elasticsearch/shield
[root@hftclclw0001 shield]# ll
total 36
-rwxr-xr-x 1 elasticsearch elasticsearch 1119 Nov 9 05:21 logging.yml
-rw------- 1 elasticsearch elasticsearch 1119 Nov 9 06:28 logging.yml.new
-rwxr-xr-x 1 elasticsearch elasticsearch 473 Nov 9 05:21 role_mapping.yml
-rw------- 1 elasticsearch elasticsearch 473 Nov 9 06:28 role_mapping.yml.new
-rwxr-xr-x 1 elasticsearch elasticsearch 2634 Nov 12 09:06 roles.yml => 角色與權(quán)限的映射
-rw------- 1 elasticsearch elasticsearch 2699 Nov 9 06:28 roles.yml.new
-rw------- 1 elasticsearch elasticsearch 128 Nov 12 08:24 system_key.new
-rwxr-xr-x 1 elasticsearch elasticsearch 410 Nov 12 09:02 users => 用戶信息
-rw------- 1 elasticsearch elasticsearch 0 Nov 9 06:28 users.new
-rwxr-xr-x 1 elasticsearch elasticsearch 85 Nov 12 09:02 users_roles => 用戶與角色的映射
-rw------- 1 elasticsearch elasticsearch 0 Nov 9 06:28 users_roles.new
[root@hftclclw0001 shield]#
默認(rèn)的角色有:
admin
power_user
user
...
eg1: 我們創(chuàng)建一個用戶test_logstash 它只能訪問 logstash-* 的indices
1.創(chuàng)建角色
[root@hftclclw0001 shield]# vi /etc/elasticsearch/shield/roles.yml
...
...
logstash_user:
cluster: all
indices:
'logstash-*': indices:data/read/search, indices:data/read/get, indices:admin/get => 讀權(quán)限
...
...
2.創(chuàng)建用戶并執(zhí)行角色
[root@hftclclw0001 shield]# /usr/share/elasticsearch/bin/shield/esusers useradd test_logstash -p test_logstash -r logstash_user
...
...
3. �WEB UI 或 Terminate上校驗,是否能訪問logstash-*索引���,是否能訪問寫����,是否能訪問其他的
“Shield的安裝與配置步驟”的內(nèi)容就介紹到這里了��,感謝大家的閱讀���。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站����,小編將為大家輸出更多高質(zhì)量的實用文章�����!
網(wǎng)站題目:Shield的安裝與配置步驟
路徑分享:
http://weahome.cn/article/gdcpoc.html
重慶分公司
重慶分公司
