Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

Stella981
• 阅读 508

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

信息发布:soゝso 发布日期:2017-02-10 11:24 热度:370 分享到:

前言:

用  Elasticsearch  的同学都知道,最近一段时间  Elasticsearch  像中毒一样全国、全世界都发生的  Elasticsearch  被删库,有的甚至被加密后敲诈比特币。

当然我也难逃删库的命运,我200GB 的爬虫数据被删,我所在的公司只开放了公司IP 才能访问,也被删除了整个库。

那么问题来了,我们为什么要开放外网访问Elasticsearch?无外乎以下几点原因。

  1. 一些插件监听使用,方便及时了解线上数据的情况,比如说  head  插件等。
  2. 为了HTTP 直接访问,有的同学考虑到通过后台TCP 查询,然后返回数据,还不如直接以Elasticsearch 作为服务直接  HTTP  查询提升效率。
  3. 还有一些同学是因为Elasticsearch 和被访问的工程不在一个局域网内。
  4. 。。。。等

我的解决方案:

我是Centos Linux 系统,我直接用  iptables  限制  IP  访问,虽然不华丽,但是明显解决了。有个弊端就是在家里由于北方的宽带  IP  老变,经常要去加IP规则,比较痛苦。

但是我收到了阿里发的“【高危漏洞通告】  ElasticSearch  未授权访问漏洞”以下内容邮件:

  1. 尊敬的 ser****@sojson.com:
  2. 您好,接上级主管部门通知,您的主机123.**.**.**安装有elasticsearch,目前elasticsearch有部分漏洞已被公布,存在信息泄露的隐患,请及时整改。如无法整改,经主管单位核实后,根据网络安全法的规定,会有关停主机的风险。
  3. 以下整改措施仅供参考:
  4. 一、监管部门加固方案
  5. (一)elasticsearch自身安全设置
  6. 1、为elasticsearch增加登录验证,可以使用官方推荐的shield插件,该插件为收费插件,可试用30天,免费的可以使用elasticsearch-http-basic,searchguard插件。插件可以通过运行Biplugin install [github-name]/repo-name。同时需要注意增加验证后,请勿使用弱口令。
  7. 2、架设nginx反向代理服务器,并设置http basic认证来实现elasticsearch的登录认证。
  8. 3、默认开启的9200端口和使用的端口不对外公布,或架设内网环境。
  9. 4、elasticsearch 早期版本在“CVE中文漏洞信息库”网站上已有部分漏洞被披露,建议使用1.7.1以上版本或使用最新版本程序。
  10. (二)大数据安全
  11. 1、设置HADOOP为基础的大数据信息系统,只允许或通过特定的IP进行访问,同时该IP地址进行安全设置(使用防病毒程序,设置复杂密码,安装最新漏洞补丁,使用应用程序防火墙等)
  12. 2、为NOSQL这类大数据数据库(如mongodb,redis)设置复杂密码
  13. 3、在大数据信息系统建设完毕后及时进行登记保护测评,并定期对该类大数据信息系统进行安全检查。
  14. (三) 服务器安全设置
  15. 1、在服务器端安装系统防护软件,实现对操作系统加固和WEB业务系统及网站的防护监测,实现对信息系统的立体化监测和防护
  16. 2、对服务器中开启的服务(如数据库、FTP、web服务等)设置复杂密码,并定期更换,增加系统安全性
  17. 3、及时更新服务器漏洞补丁,防止漏洞被利用
  18. 4、在互联网出口设置防火墙访问策略,只允许特定需要对外访问的端口通过,其他异常访问全部阻断
  19. 5、对重要信息系统服务、数据信息、资产等进行黑白名单和权限访问设置。

所以我就按照Email内容着手去做安全。

首先收费的shield 肯定是排除的,其次Elasticsearch-http-basic 也随之排除,因为没我对应的版本,详细对应版本请看下面表格:

Version Mapping:

Http Basic Plugin

elasticsearch

v1.5.1(master)

1.5.1, 1.5.2, 1.6.0, 1.7.0

v1.5.0

1.5.0

v1.4.0

1.4.0

v1.3.0

1.3.0

v1.2.0

1.2.0

1.1.0

1.0.0

1.0.4

0.90.7

github地址:https://github.com/Asquera/elasticsearch-http-basic

最后选用方案是比较简单的,采用Nginx http-basic ,我是采用域名的方式访问,隐蔽了一层。

Nginx Http-basic 方案步骤实施

一、选用一个域名,并且配置转发。

  1. upstream es.sojson.com{

  2. server 127.0.0.1:9981 weight=1 max_fails=2;

  3. server 127.0.0.1:9982 weight=1 max_fails=2;

  4. server 127.0.0.1:9983 weight=1 max_fails=2;

  5. server 127.0.0.1:9984 weight=1 max_fails=2;

  6. server 127.0.0.1:9985 weight=1 max_fails=2;

  7. }

  8. location ~* / {

  9. proxy_set_header Host $host;

  10. proxy_set_header X-Real-IP $remote_addr;

  11. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  12. proxy_set_header Upgrade $http_upgrade;

  13. proxy_set_header Connection "upgrade";

  14. if ($host ~* es\.sojson\.com) {

  15. proxy_pass http://es.sojson.com;

  16. }

  17. }

因为我五个点都加了插件,所以可以做个负载均衡。

二、配置帐号密码访问方式。

  1. location ~* / {

  2. proxy_set_header Host $host;

  3. proxy_set_header X-Real-IP $remote_addr;

  4. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  5. proxy_set_header Upgrade $http_upgrade;

  6. proxy_set_header Connection "upgrade";

  7. #关键点,配置帐号密码

  8. auth_basic "login";#提示信息

  9. auth_basic_user_file /usr/local/nginx/conf/vhosts/password/es; #密码文件(注意最好别挑事,直接写绝对路径,别相对路径)

  10. autoindex on;

  11. if ($host ~* es\.sojson\.com) {

  12. proxy_pass http://es.sojson.com;

  13. }

  14. }

三、配置密码帐号文件。

上面第二点配置中有一个auth_basic_user_file  选项,这个选项就是配置的密码访问规则。密码是采用Crypt (all Unix servers)  方式密的,本站有生成工具:http://www.sojson.com/htpasswd.html 。如下图:

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

然后把生成的内容复制到上面配置的路径文件中/usr/local/nginx/conf/vhosts/password/es;

  1. vi /usr/local/nginx/conf/vhosts/password/es

然后把生成的admin:PJdMvp0Utzclm 插入进去,保存之前看前面有没有丢了字母,我老会丢一个第一个字母,导致坑了一会。保存退出重启  Nginx  即可。

四、测试访问

访问之前配置好的域名es.sojson.com 。出现以下画面后输入配置好的帐号密码(明文)测试通过。

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问

五、关闭外网访问。

  1. elasticsearch$ vi config/elasticsearch.yml

然后修改部分配置,只需要配置network.host : 127.0.0.1 即可

  1. #network.publish_host: 0.0.0.0
  2. #networt.bind_host: 0.0.0.0
  3. #network.host: 0.0.0.0
  4. #只要配置这个即可
  5. network.host: 127.0.0.1
  6. #network.publish_host: 127.0.0.1

重启  Elasticsearch  ,打完收工。想要更安全一点,可以再加上  iptables  ,然后再加上访问频率限制,防止暴力破解。

本文主题

Elasticsearch Elasticsearch安全 Elasticsearch教程 Nginx iptables

版权所属:SO JSON 在线工具

原文地址:http://www.sojson.com/blog/213.html

转载时必须以链接形式注明原始出处及本声明。

点赞
收藏
评论区
推荐文章
光头强的博客 光头强的博客
2个月前
Java面向对象试题
1、 请创建一个Animal动物类,要求有方法eat()方法,方法输出一条语句“吃东西”。 创建一个接口A,接口里有一个抽象方法fly()。创建一个Bird类继承Animal类并实现 接口A里的方法输出一条有语句“鸟儿飞翔”,重写eat()方法输出一条语句“鸟儿 吃虫”。在Test类中向上转型创建b对象,调用eat方法。然后向下转型调用eat()方
刚刚好 刚刚好
2个月前
css问题
1、 在IOS中图片不显示(给图片加了圆角或者img没有父级) <div<img src""/</div div {width: 20px; height: 20px; borderradius: 20px; overflow: h
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录 问题 用navicat导入数据时,报错: 原因这是因为当前的MySQL不支持datetime为0的情况。 解决修改sql\mode: sql\mode:SQL Mode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。 全局s
小森森 小森森
2个月前
校园表白墙微信小程序V1.0 SayLove -基于微信云开发-一键快速搭建,开箱即用
后续会继续更新,敬请期待2.0全新版本 欢迎添加左边的微信一起探讨!项目地址:](https://www.aliyun.com/activity/daily/bestoffer?userCodesskuuw5n) \2. Bug修复更新日历 2. 情侣脸功能大家不要使用了,现在阿里云的接口已经要收费了(土豪请随意), \ \ 和 注意
晴空闲云 晴空闲云
2个月前
css中box-sizing解放盒子实际宽高计算
我们知道传统的盒子模型,如果增加内边距padding和边框border,那么会撑大整个盒子,造成盒子的宽度不好计算,在实务中特别不方便。boxsizing可以设置盒模型的方式,可以很好的设置固定宽高的盒模型。 盒子宽高计算假如我们设置如下盒子:宽度和高度均为200px,那么这会这个盒子实际的宽高就都是200px。但是当我们设置这个盒子的边框和内间距的时候,那
艾木酱 艾木酱
1个月前
快速入门|使用MemFire Cloud构建React Native应用程序
> MemFire Cloud是一款提供云数据库,用户可以创建云数据库,并对数据库进行管理,还可以对数据库进行备份操作。它还提供后端即服务,用户可以在1分钟内新建一个应用,使用自动生成的API和SDK,访问云数据库、对象存储、用户认证与授权等功能,可专
Wesley13 Wesley13
1年前
MySQL查询按照指定规则排序
1.按照指定(单个)字段排序 select * from table_name order id desc; 2.按照指定(多个)字段排序 select * from table_name order id desc,status desc; 3.按照指定字段和规则排序 selec
Stella981 Stella981
1年前
Angular material mat
Icon Icon Name mat-icon code _add\_comment_ add comment icon <mat-icon> add\_comment</mat-icon> _attach\_file_ attach file icon <mat-icon> attach\_file</mat-icon> _attach\
Wesley13 Wesley13
1年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
#### 背景描述 # Time: 2019-01-24T00:08:14.705724+08:00 # User@Host: **[**] @ [**] Id: ** # Schema: sentrymeta Last_errno: 0 Killed: 0 # Query_time: 0.315758 Lock_
helloworld_34035044 helloworld_34035044
4个月前
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。 uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid() 或 uuid(sep)参数说明:sep 布尔值,生成的uuid中是否包含分隔符'',缺省为
helloworld_28799839 helloworld_28799839
2个月前
常用知识整理
# Javascript ## 判断对象是否为空 ```js Object.keys(myObject).length === 0 ``` ## 经常使用的三元运算 > 我们经常遇到处理表格列状态字段如 `status` 的时候可以用到 ``` vue