search-guard 在 Elasticsearch 2.3 上的运用

author:uni3orns

参考内容:

此文章基于以下软件版本,不同版本可能略有差异:

  • elasticsearch 2.3.3
  • search-guard 2.3.3 RC1

0x00 背景

Elasticsearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎,大量使用于各种场景,随着不断的发展,不可避免的会产生安全问题,一些危害比较大的漏洞比如CVE-2015-3337、CVE-2015-5531。面对这些漏洞(包括0day)的威胁,以及多业务使用使用同一套es集群的情况,使用一套认证授权系统就显得尤为必要。
经过es1代到2代产品的过度,目前主流的方案就只有官方的shield以及开源search-guard,然而我厂比较扣。

0x01 search-guard

search-guard 更新到2.x后跟 shield 配置上很相似,相比1.x的版本逻辑上更加松散。

searchguard 优点有:

  • 节点之间通过 SSL/TLS 传输
  • 支持 JDK SSL 和 Open SSL
  • 支持热载入,不需要重启服务
  • 支持 kibana4 及 logstash 的配置
  • 可以控制不同的用户访问不同的权限
  • 配置简单

0x02 安装

安装search-guard-ssl

安装search-guard-2

0x03 证书

根据自身情况修改官方脚本生成admin证书、node证书、根证书,将 node 证书和根证书放在 elasticsearch 配置文件目录下,同时将admin证书和根证书放到search-guard 配置文件目录下

tips:证书需要统一生成

0x04 配置 elasticsearch 支持 ssl

elasticsearch.yml增加以下配置:

重启 elasticsearch

注意:任何修改elasticsearch.yml的操作都需要重启elasticsearch才能生效

配置文件介绍

searchguard 主要有5个配置文件在 plugins/search-guard-2/sgconfig 下:

sg_config.yml:

  • 主配置文件不需要做改动

sg_internal_users.yml:

  • 本地用户文件,定义用户密码以及对应的权限。例如:对于 ELK 我们需要一个 kibana 登录用户和一个 logstash 用户:

密码可用plugins/search-guard-2/tools/hash.sh生成

sg_roles.yml:

  • 权限配置文件,这里提供 kibana4 和 logstash 的权限样例

sg_roles_mapping.yml:

  • 定义用户的映射关系,添加 kibana 及 logstash 用户对应的映射:

sg_action_groups.yml:

  • 定义权限

加载配置并启用

如修改了searchguard,则需要重新加载配置执行

注意:search-guard配置的相关改动不需要重启elasticsearch,相关的配置实际上存储在searchguard 的indice下了

至此大家就可以安全的使用elasticsearch

关于ldap以及https的配置将在下一篇给出

评论

vc12016-06-24 16:06:59