本篇内容主要介绍以下知识:
- 对Elasticsearch配置TLS 加密通信及身份验证
- Kibana多用户创建及角色权限控制
一、对Elastic集群配置TLS加密通信及身份验证
1、配置tls加密通信及身份验证,主要目的是确保集群数据安全。在es早期版本,安全认证相关功能都属于商业付费服务,一般普通公司如果集群部署在内网,基本上就忽略了这些安全认证,当然也可以通过Nginx这种反向代理来进行控制。现在官方宣布从6.8和7.1开始,免费提供多项安全功能。其中包括tls加密通信,基于角色访问控制等功能。对很多使用ELK技术栈的公司来说都是重大利好。
2、在配置tls之前,我们要做的第一件事是生成证书,通过这些证书可以让节点安全地通信,当然也可以使用企业CA证书来完成这一步骤,但是一般情况下,我们可以通过elasticsearch自带的elasticsearch-certutil的命令生成证书。然后各节点通过该证书可以进行安全通信。
3、在前面的章节中,我们已经搭建好了es集群,我们先拿第一个节点来操作,进入elasticsearch目录,然后执行以下命令。
cd /usr/local/elkstack/elasticsearch-7.3.0
bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""
上面命令执行成功后,会在config文件夹下生成elastic-certificates.p12证书。
然后编辑配置文件elasticsearch.yml,将以下内容添加到配置文件末尾
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
4、将上面步骤生成的elastic-certificates.p12证书复制到另外两个es节点上对应的config文件夹中,同时将上面xpack.security.*配置选项也都复制到对应节点的elasticsearch.yml文件里。
5、现在三台es节点上都有了elastic-certificates.p12证书,同时elasticsearch.yml文件中也都增加了xpack.security.*安全配置项。启动三个节点。待节点启动完毕之后,进入第一个节点elasticsearch目录,执行以下命令,进行密码设置:
bin/elasticsearch-setup-passwords interactive
[elkstack@nodedocker elasticsearch-7.3.0]$ bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
上述就是为各个组件设置访问密码,为了方便后续使用,这里可以都设置成一样。
6、由于现在Elasticsearch设置了密码,所以logstash过滤数据之后往es中推送的时候,需要添加权限认证。增加访问es集群的用户及密码:
7、elasticsearch-head插件此时再去访问有安全认证的es集群时http://192.168.137.55:9100,会发现无法进行查看,打开控制台可以看到报错:401 unauthorized
然后进入elasticsearch-head官方github去查看,可以看到下面两个步骤去解决:
1、修改elasticsearch.yml文件,增加以下配置。
http.cors.allow-headers: Authorization
2、在访问head插件时,通过在url里增加认证信息进行访问。
http://192.168.137.55:9100/?auth_user=elastic&auth_password=elastic123
我这边按上面两个步骤试了之后一直还是访问报错,错误提示信息里面包含了这句:Request content-type is not allow
然后进行对elasticsearch.yml文件进行了如下修改,在http.cors.allow-headers: Authroization后面增加了content-type.
http.cors.allow-headers: Authorization,content-type
修改三台es节点,然后重新启动,再次url+认证信息方式可以正常访问es集群。
http://192.168.137.55:9100/?auth_user=elastic&auth_password=elastic123
3、Kibana组件访问带有安全认证的Elasticsearch集群,配置文件kibana.yml中需要加入以下配置.
elasticsearch.username: "elastic"
elasticsearch.password: "elastic123"
二、Kibana多用户创建及角色权限控制
1、由于ELK日志管理属于基础设施平台,所以接入多个应用系统是正常现象,如果接入多个系统的索引文件没有进行权限划分,那么很大程度会出现索引文件误处理现象,为了避免这种情况发生,多用户及权限设置必不可少。
2、在前面的章节中,我们提到通过Filebeat采集应用日志,发送到redis(或者kafka),通过在filebeat.yml中设置fields.log_type属性来确定是哪个应用生成的日志文件,然后在logstash中针对不同的fields.log_type发往elasticsearch时创建不同的索引文件。
3、针对不同用户只能查看各自系统的索引文件。第一步需要创建角色,将某个角色和索引文件进行绑定。
- 1、创建第一个应用系统app1index-log 角色,选择对应的索引文件,分配对应的权限read
- 2、 创建第二个系统app2index-log角色,选择对应的索引文件,分配对应的权限read
- 3、创建两个用户app1index/app1index(用户名/密码),app2index/app2index, 然后分配对应系统角色和kibana_user角色
- 5、用户创建完后,可以进行登录验证。
登录app1index用户,只能查询app1的索引日志。
虽然app1index用户可以看到其他的索引index-pattern, 但是无法查询到数据。所以保证了其他系统索引文件的安全。
登录app2index用户,只能查询app2index 索引日志,其他索引无法查询到数据。
app2index 用户选择其他未分配权限的索引,无法查询到数据。
到这里,通过ELK Stack构建多系统多用户安全认证日志平台就搭建好了,大家在操作过程中,如果有疑问或者遇到问题,欢迎留言一起沟通,该系列文章如发现不对的地方,烦请帮忙指正,我这边会及时更改,谢谢。