淺談Elasticsearch的AAA (I)

wyzsk發表於2020-08-19

Elasticsearch

作者：淡定淞淞 · 2015/08/18 16:24

0x00 前言

Elasticsearch（以下簡稱es）被越來越多的公司廣泛使用，而其本身安全問題也備受關注，最近出現的安全問題比較多，例如影響比較大的漏洞有CVE-2014-3120和CVE-2015-1427。

這些漏洞和es本身沒有認證授權機制有很大關係，同時公司內部多業務使用使用同一套es叢集的情況非常多，如何做好認證授權的管理的問題尤為凸顯。

官方竟然將安全模組Shield作為收費模組，所以普及率並不高。本著為公司省下仨瓜倆棗的精神尋找其他的解決方案。實現過程中走了一些彎路，記錄下來以方便其他遇到這些問題的同仁。

0x01 需求

隨著es的普及，對安全的需求越來越多，例如：

賬號認證，解決es匿名訪問的問題。
授權管理，對不同的賬號按照不同維度分配（主要是索引）訪問許可權。
只讀許可權，此條需求來源於：某個Dashboard想分享給其他人，但又不想讓其他人有許可權修改。
統一認證，單點登入。

0x02 方案選擇

需求已確定，經過一番尋找得到以下幾種方案備選。、

elasticsearch-http-basic :優點：此方案部署簡單快速，可以解決從無到有的過程，實現了賬號認證和ip白名單認證功能，缺點：功能單一，只解決了#1需求。
kibana-authentication-proxy:優點：此方案是針對kibana實現的認證，優點是該方案支援“Google OAuth2, BasicAuth(multiple users supported) and CAS Authentication”解決了需求#4中的單點登入的需求，配合方案#1中的ip白名單能基本解決需求#1和#4.缺點：目前只支援到kibana3。
Shield ：優點：功能強大，文件豐富。缺點：收費。
search-guard：優點：功能豐富的免費模組，能夠很好的解決需求中所有問題（除了#4中的單點登入）。缺點：部署和配置稍複雜，文件較少，門檻較高。

大家應該能猜到最終的選擇了，沒錯就是方案#4。

0x03 安裝和配置

準備工作

目前官方對es1.5和1.6支援比較好，兩個版本安裝方法不同，

es 1.5：

直接使用外掛安裝，

 bin/plugin -i com.floragunn/search-guard/0.5

es1.6：

首先需要安裝maven，

#!bash
wget http://mirror.bit.edu.cn/apache/maven/maven-3/3.3.3/binaries/apache-maven-3.3.3-bin.tar.gz

解壓後將bin目錄新增到環境變數PATH中。

下載編譯相關依賴

git clone -b es1.6 https://github.com/floragunncom/search-guard.git cd search-guard mvn package -DskipTests bin/plugin -u file:./target/search-guard-16-0.6-SNAPSHOT.jar -i search-guard

配置

Search guard配置分為2部分，一部分是elasticsearch.yml以及logging.yml檔案。另一部分儲存在es中。

elasticsearch.yml 主要內容包括search guard的一些開關，ssl支援的配置，認證方式，許可權控制的filter等。下面我們來完成一個最小化的配置：直接將git中searchguard_config_template.yml內容貼上到elasticsearch.yml，然後開啟

searchguard.allow_all_from_loopback: true

以方便本地除錯。另外需要注意的一個選項是

searchguard.key_path: /path/key

searchguard_node.key檔案的路徑。預設配置已開啟basic認證，

searchguard.authentication.authentication_backend.impl: com.floragunn.searchguard.authentication.backend.simple.SettingsBasedAuthenticationBackend searchguard.authentication.authorizer.impl: com.floragunn.searchguard.authorization.simple.SettingsBasedAuthorizator searchguard.authentication.http_authenticator.impl: com.floragunn.searchguard.authentication.http.basic.HTTPBasicAuthenticator

設定使用者名稱和密碼

searchguard.authentication.settingsdb.user.

ElasticSearch淺談
2018-05-11
Elasticsearch
淺談ElasticSearch的認知
2018-06-12
Elasticsearch
Elasticsearch從入門到放棄：淺談算分
2021-01-27
Elasticsearch
aaa
2024-03-05
淺談 non-blocking I/O Multiplexing + poll/epoll 的正確使用
2013-10-09
BloC
淺淺談Redux
2019-04-17
Redux
Golang Cannot use ss(type AAA) as type AAA in map index
2018-01-26
GolangIndex
淺談JavaScript中的this
2018-03-07
JavaScript
淺談DataSet 的用法
2005-04-21
淺淺淺談JavaScript作用域
2019-03-24
JavaScript
Celery淺談
2020-06-25
淺談flutter
2019-11-01
Flutter
淺談JMM
2019-07-29
淺談反射
2019-02-28
反射
淺談mock
2019-03-02
Mock
淺談SYNPROXY
2019-03-21
淺談Disruptor
2019-03-04
淺談IHttpHandler
2019-07-03
HTTP
淺談 Promise
2019-02-16
Promise
淺談PWA
2018-11-16
淺談vuex
2018-08-01
Vue
淺談JavaScript
2020-11-20
JavaScript
zookeeper淺談
2020-10-27
淺談RMQ
2021-01-04
MQ
淺談Zilliqa
2018-02-15
淺談RxJava
2018-02-01
RxJava
淺談Nginx
2018-05-26
Nginx
淺談 JavaScriptCore
2016-10-14
JavaScript
淺談MVP
2017-03-03
MVP
淺談BitMap
2017-03-12
Jquery淺談
2016-12-14
jQuery
淺談CopyOnWriteArraySet
2017-10-23
機器學習淺談
2018-05-13
機器學習
淺談promise
2018-05-20
Promise
淺談框架
2017-12-26
框架
淺談mvc
2016-04-21
MVC
淺談遊戲
2015-08-28
遊戲
淺談REST
2012-09-02
REST