введение

В современной среде, где данные защищены, эффективная защита паролем для запуска и доступа Elasticsearch имеет решающее значение. В этом разделе подробно описано, как установить пароль запуска и пароль доступа Elasticsearch для обеспечения безопасности системы. Правильно настроив хранилище ключей и используя SSL для шифрования сообщений, вы сможете эффективно управлять паролями запуска и обеспечить более высокий уровень безопасности доступа к паролям.

Установить пароль запуска

хранилище ключей elasticsearch

# Эта команда используется для управления Elasticsearch Настройки безопасности в хранилище ключей.
elasticsearch-keystore

описывать

Все параметры безопасности зависят от узла и должны иметь одинаковое значение на каждом узле. Поэтому вы должны запустить эту команду на каждом узле. Если хранилище ключей защищено паролем, пароль необходимо вводить при каждом запуске Elasticsearch. Изменения в хранилище ключей не вступят в силу до перезапуска Elasticsearch.

Создать пароль запуска

bin/elasticsearch-keystore create -p

Система предложит ввести пароль запуска.。Файлы, защищенные паролемelasticsearch.keystoreбудет использоваться с этим файлом elasticsearch.ymlТворите вместе。

Изменить пароль запуска

bin/elasticsearch-keystore passwd

Если у вас раньше был старый пароль, то при смене пароля система предложит ввести старый пароль, а затем ввести новый пароль.

Если пароль не был установлен ранее, система предложит вам установить пароль напрямую.

Перечислите настройки в хранилище ключей (если пароль был установлен ранее, необходимо ввести пароль для проверки)

bin/elasticsearch-keystore list

Удалить пароль запуска

bin/elasticsearch-keystore remove the.setting.name.to.remove
# Вы также можете удалить несколько одновременно
bin/elasticsearch-keystore remove \
  the.setting.name.to.remove \
  the.other.setting.name.to.remove

При удалении система предложит ввести пароль защиты хранилища ключей.

Или при установке пароля нажмите Enter напрямую, не вводя новый пароль. Вы также можете очистить пароль и активировать его.

Конечно, кроме пароля на запуск ES, вы также можете установить пароль на запрет доступа к ES, что более важно.

Установить пароль доступа

ИсправлятьESфайл конфигурацииconfig/elasticsearch.ymlДобавьте следующий контент в конце

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

Переключитесь на пользователя ES и запустите ES.

su - es
cd /app/elasticsearch-7.8.0/
./bin/elasticsearch -d

Установить пароль доступа

./bin/elasticsearch-setup-passwords interactive

Далее необходимо установить ряд паролей. Можно установить один и тот же пароль для всех, а затем перезапустить ES после завершения настроек.

Ошибки, с которыми вы можете столкнуться при настройке аутентификации

Caused by: javax.net.ssl.SSLHandshakeException: No available authentication scheme

Вот проблемы, вызванные использованием зашифрованной связи SSL

Разрешение ошибок

Создайте сертификат CA (при создании необходимо установить пароль, вы можете нажать Enter напрямую)

bin/elasticsearch-certutil ca

Сгенерируйте ключ p12, используя сертификат

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

Создайте каталог сертификатов в каталоге конфигурации.,И добавьте сгенерированный файл p12 копировать в каталог сертификатов.,и вconfig/elasticsearch.ymlДобавьте следующий контент в конце

xpack.security.enabled: true
xpack.license.self_generated.type: basic
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

Подвести итог

Выполнив описанные выше шаги, вы успешно установили пароль запуска и пароль доступа к Elasticsearch, обеспечивая тем самым надежный уровень защиты ваших данных и безопасности системы. Регулярно обновляйте и проверяйте пароли, чтобы адаптироваться к меняющимся потребностям безопасности.

Я участвую в четвертом выпуске специального учебного лагеря Tencent Technology Creation 2023 с эссе, получившими награды. Приходите и разделите приз со мной!