Kibana 5.x 加强安全
来源:互联网 发布:linux切换用户 编辑:程序博客网 时间:2024/06/08 15:50
此文之前,假定读者已经一次完成了Kibana和elasticsearch的安装。参考官方文档,安装后默认配置已经可以连通kibana和es。
- 系统: centos7
内容: 增加authentication & enable ssl
elastic 技术栈 的另外一个重要的角色是x-pack.
ES安装xpack插件
参考安装xpack
Run bin/elasticsearch-plugin install from ES_HOME on each node in your cluster:
bin/elasticsearch-plugin install x-pack
Kibana 安装xpack 插件
参考安装xpack
Install X-Pack into Kibana by running bin/kibana-plugin in your Kibana installation directory.
bin/kibana-plugin install x-pack
依次启动elasticsearch 和kibana
修改用户elastic 和 kibana的密码
X-Pack 文档:修改密码
X-Pack security provides a built-in elastic superuser you can use to start setting things up. The default password for the elastic user is changeme.
curl -XPUT -u elastic 'localhost:9200/_xpack/security/user/elastic/_password' -d '{ "password" : "elasticpassword"}'
curl -XPUT -u elastic 'localhost:9200/_xpack/security/user/kibana/_password' -d '{ "password" : "kibanapassword"}'
CURL授权
在访问需要授权的页面时,可通过-u选项提供用户名和密码进行授权。 通常的做法是在命令行只输入用户名,之后会提示输入密码,这样可以保证在查看历史记录时不会将密码泄露
Enable Kibana SSL
Using Kibana in a Production Environment
配置上证书的路径即可:
# SSL for outgoing requests from the Kibana Server (PEM formatted)server.ssl.key: /path/to/your/server.keyserver.ssl.cert: /path/to/your/server.crt
修改了超级用户的密码,enable ssl后,就可以放心的去使用kibana的Dev Tools 或者chrome插件(sense)进行大部分API 的操作。 (在此之前需要ssh到服务器通过curl来操作以保证安全)
创建用户logstash_writer
官方参考
上面步骤完成后会发现logstash推送给es报错了。因为现在ES需要用户名和密码了。 这里我们需要创建一个用户拥有write, delete, and create_index的权限。
[2016-12-23T20:42:19,350][WARN ][logstash.outputs.elasticsearch] Attempted to resurrect connection to dead ES instance, but got an error. {:url=>#<URI::HTTP:0x17b5a1bd URL:http://localhost:9200>, :error_type=>LogStash::Outputs::ElasticSearch::HttpClient::Pool::BadResponseCodeError, :error=>"Got response code '401' contact Elasticsearch at URL 'http://localhost:9200/'"}[2016-12-23T20:42:20,132][WARN ][logstash.shutdownwatcher ] {}
- 先创建一个role:logstash_writer
POST _xpack/security/role/logstash_writer{ "cluster": ["manage_index_templates", "monitor"], "indices": [ { "names": [ "logstash-*","business-index-*"], "privileges": ["write","delete","create_index"] } ]}
- 再创建一个用户:logstash_internal拥有Role:logstash_writer
POST /_xpack/security/user/logstash_internal{ "password" : "changeme", "roles" : [ "logstash_writer"], "full_name" : "Internal Logstash User"}
上面的操作也可以通过Kibana的Management UI来操作
- 配置logstash.conf
output { elasticsearch { ... user => logstash_internal password => changeme }
logstash, elasticsearch, kibana 如果在同一网络,而暴露出去的只有kibana的话,logstash和elasticsearch 之前是无需授权的。可以参考Enabling Anonymous Access 另外,logstash和elasticsearch之间如果需要授权,会不会有性能的影响?
给Kibana用户加上index的读的权限
Kibana安装xpack后默认就需要登录了。也可以用超级用户elastic登录
登录后打开DevTools进行ES API的操作。
修改后停掉kibana服务。修改kibana的配置:
Once you change the password, you need to specify it with the elasticsearch.password property in kibana.yml:
elasticsearch.password: "s0m3th1ngs3cr3t"
坑 (Tricky Part)
- /etc/logstash/conf.d 下不要有多余的文件。比如logstash.conf.bak, 似乎logstash会读这个文件夹下的不止logstash.conf这个文件配置。logstash.conf.bak 会导致死循环一样的重启。elastic community
- Kibana 5.x 加强安全
- Kibana 5.x DevTool常用命令
- 通过Nginx 的反向代理来加强kibana的访问安全
- 【转载】CentOS 7 安装 Kibana 5.x
- Kibana + X-Pack安装
- kibana + x-pack = 高级kibana
- Kibana 5.x插件打包为离线安装包
- Elasticsearch Kibana安装x-pack
- Elasticsearch-ES 5.x (Head,Kibana,X-Pack) 集群的部署、配置、测试
- SSL加强数据传输安全
- 网络加强和安全
- nginx加强安全模块
- 加强MySQL用户安全
- 加强redis安全
- mysql安全加强
- Elasticsearch&logstash&filebeat&kibana&x-pack搭建
- Elasticsearch Kibana (Beats Logstash) X-Pack Angular
- Elasticsearch6.x之Kibana插件安装-yellowcong
- HDU 1232 并查集裸题
- Spring mvc 页面跳转方式
- mongodb安装、配置以及命令创建服务
- Spring4MVC+Spring4+Hibernate4整合系列--(二)StepByStep3
- springMVC+velocity做权限控制 控制到按钮!
- Kibana 5.x 加强安全
- poj 2505 A multiplication game 博弈基础
- java中如何用Quartz框架来实现定时任务(一)
- Enterprise Architect基于SVN多人协作环境搭建
- selenium的测试框架
- Nagle算法
- 自定义注解初步学习
- spring 容器后处理器 BeanFactoryPostProcessor 使用需要注意的一个问题
- Java Class对象 、类对象 、 有关反射的概念