ES的HTTP連線沒有提供任何的許可權控制措施,一旦部署在公共網路就容易有資料洩露的風險,尤其是加上類似elasticsearch-head這樣友好的前端介面,簡直讓你的資料瞬間裸奔在黑客的眼皮底下。專案上線前做十萬伏特的防護當然不現實,但至少,我們不要裸奔,穿一套比基尼吧。而做一個簡單的HTTP認證並不需要從頭造輪子,elasticsearch-http-basic就提供了針對ES HTTP連線的IP白名單、密碼許可權和信任代理功能。
安裝
elasticsearch-http-basic還不支援ES標準的bin/plugin install [github-name]/[repo-name]的安裝方式,但作者有提供編譯好的jar包,不需要下載原始碼重新編譯。GitHub上目前的最新版本是對應ES的1.4.0版本,但驗證過1.5.2也是同樣可用的。
外掛的安裝步驟如下:
- 從elasticsearch-http-basic的釋出版下載對應版本的jar包
-
mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic(注意資料夾的名稱) - 重啟ES程式
- 驗證外掛是否生效:
curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true(如果看到plugins列表包含有http-basic-server-plugin就說明外掛生效了)
配置
elasticsearch-http-basic和其他ES外掛一樣,在config/elasticsearch.yml中統一配置:
| 配置名 | 預設值 | 說明 |
|---|---|---|
| http.basic.enabled | true | 開關,開啟會接管全部HTTP連線 |
| http.basic.user | "admin" | 賬號 |
| http.basic.password | "admin_pw" | 密碼 |
| http.basic.ipwhitelist | ["localhost", "127.0.0.1"] | 白名單內的ip訪問不需要通過賬號和密碼,支援ip和主機名,不支援ip區間或正則 |
| http.basic.trusted_proxy_chains | [] | 信任代理列表 |
| http.basic.log | false | 把無授權的訪問事件新增到ES的日誌 |
| http.basic.xforward | "" | 記載代理路徑的header欄位名 |
測試
- Shell
# 無賬號密碼,不可訪問
>>> curl http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
Authentication Required
# 通過user選項帶上賬號密碼,返回正常資料
>>> curl --user [your-admin]:[your-password] http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
{
"count" : xxx,
"_shards" : {
"total" : xxx,
"successful" : xxx,
"failed" : 0
}
}
- 新增了HTTP基本認證後,
elasticsearch-head同樣會彈窗要求你先進行許可權認證
Python
ES官方的Python客戶端可以通過http_auth配置賬號密碼:
pythonfrom elasticsearch import Elasticsearch es = Elasticsearch(['localhost'], http_auth=('your-admin', 'your-password'), port=...)
來自:建造者說