linux|Elasticsearch7.5.0安全(xpack)之身份认证

一:前言 【linux|Elasticsearch7.5.0安全(xpack)之身份认证】为什么会谈到ElasticSearch安全问题呢?因为在针对外网使用ElasticSearch没有开启安全保障(xpack),很容易遭到黑客的攻击,特别就是依赖于ElasticSearch响应数据的项目,一定要注意这一点,要是黑客扫描到你的ElasticSearch地址,直接执行DELETE /_all命令,就会导致项目直接瘫痪。想想这个风险还是很大的。
当然解决方式也有很多种,今天小编就带大家了解一下xpack怎么使用吧
二:elasticsearch相关配置 2.1 首先进入elasticsearch中的config目录,然后在elasticsearch.yml加入对应的配置

## 进入elasticsearch的config目录 [root@xxxxxxx /]# cd /usr/local/elasticsearch-7.5.0/config/ ## 查看elasticsearch.yml文件,打开后按i编辑文件 [root@xxxxxxx config]# vi elasticsearch.yml ## 在文件尾部添加以下配置,可参考2.1.1 配置示例图 # 配置跨域 http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type #设置为false以禁用X-Pack机器学习功能 xpack.ml.enabled: false #设置为true以开启X-Pack安全功能。 xpack.security.enabled: true xpack.security.transport.ssl.enabled: true ## 设置完之后直接wq保存

2.1.1 配置示例图
linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

2.2 重启elasticsearch,并设置密码
## 进入bin目录,重启elasticsearch服务生效。(小编这边是直接kill对应的端口,然后直接启动的哈) [root@xxxxxxx bin]#./elasticsearch -d ## 设置密码,如2.2.1 示例图依次设置对应的密码 [root@xxxxxxx bin]#./elasticsearch-setup-passwords interactive

2.2.1 示例图
linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

2.3 验证(ip+9200端口)出现下图则表示成功啦 linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

输入对应的账号密码进行登录,登录成功则显示下图
linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

三:Kibana相关配置(如果没用使用Kibana可以忽略) 3.1开启xpack之后,再访问kibana发现报kibana server is not ready yet错误,不要慌这里只需要在kibana中加上对应的配置即可解决 linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

3.2 解决kibana server is not ready yet错误,找到kibana.yml配置文件,加上以下配置并重启即可
elasticsearch.username: "elastic" elasticsearch.password: "123456"

3.3 重启kibana * 注意,因为kibana是通过node写的,所以在找kibana进程需要按下面命令操作
# 找kibana进程,找到对应端口之后直接kill掉就可以尝试启动啦 [root@xxxxxxx bin]# ps -ef | grep node # 启动kibana [root@xxxxxxx bin]# ./kibana &

linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

3.4 再次尝试访问kibana,会出现如下图的登录页面,通过elastic账号以及之前设置的密码登录即可(elastic是管理员账号) linux|Elasticsearch7.5.0安全(xpack)之身份认证
文章图片

四:Spring中使用身份证验证 4.1 spring配置文件
spring: data: elasticsearch: #开启Elasticsearch仓库 repositories: enabled: true elasticsearch: rest: uris: 127.0.0.1:9200 username: elastic password: 123456

4.2 配置类 * 注意,如果之前没有使用配置类的方式,一定要改成这种方式,不然直接使用spring的配置,是不会对身份验证生效的,会导致调用接口时候报401错误
@Configuration public class ElasticSearchConfig extends AbstractElasticsearchConfiguration { @Value("${spring.elasticsearch.rest.uris}") private String uris; @Value("${spring.elasticsearch.rest.username}") private String username; @Value("${spring.elasticsearch.rest.password}") private String password; @Override @Bean(destroyMethod = "close") public RestHighLevelClient elasticsearchClient() { final ClientConfiguration clientConfiguration = ClientConfiguration.builder() .connectedTo(uris) .withBasicAuth(username, password) .build(); return RestClients.create(clientConfiguration).rest(); } }

    推荐阅读