ELK的安全加固

0.196字数 789阅读 1418

一、配置ELK的安全认证功能

ELK支持安全认证功能,但是需要安装xpack插件。我在做认证测试时,发现ELK在6.3版本默认已经安装了xpack插件,在6.3之前的版本还是需要手动安装xpack软件。因为我测试环境是使用ELK 6.3.1搭建的,因此不需要手动安装xpack插件,所以此处就不在演示安装xpack了。
相关ELK系统的搭建可参考:https://www.jianshu.com/p/bc6b0e329978
ps:xpack插件是要收费的,不过官方提供一段时间的免费试用,有兴趣研究的可以到官网申请或登录kibana界面点击试用,当然也可以弄个破解版嘿嘿嘿。
系统版本:Centos 6.9
ELK版本:6.3.1

1、配置启用elasticsearch的安全认证

首先,修改elasticsearch的配置文件:

[root@ES ~]# vim /etc/elasticsearch/elasticsearch.yml 
xpack.security.enabled: true      #在配置中添加此参数,开启安全认证功能

接着修改elastic和kibana用户的密码:

#修改elastic用户的密码
curl -XPUT -u elastic '10.10.10.6:9200/_xpack/security/user/elastic/_password' -d '{
  "password" : "123456"
}'

#修改kibana用户的密码
curl -XPUT -u elastic '10.10.10.6:9200/_xpack/security/user/kibana/_password' -d '{
  "password" : "123456"
}'

修改完后,重启elasticsearch服务进程,接着你应该就会发现kibana和logstash 无法连接上elasticsearch了,这是因为它们还没有配置认证。

2、配置kibana与elasticsearch的认证信息

修改/etc/kibana/kibana.yml文件:

[root@ES ~]# vim /etc/kibana/kibana.yml
#配置用于与elasticsearch做认证的账号密码
elasticsearch.username: "kibana"
elasticsearch.password: "123456"

然后重启kibana服务

3、配置logstash认证信息

首先登录kibana,在Dev Tools处执行下述命令创建logstash权限role和用户:

#创建logstash role权限
POST _xpack/security/role/logstash_writer
{
  "cluster": ["manage_index_templates", "monitor"],
  "indices": [
    {
      "names": [ "logstash-*","business-index-*"], 
      "privileges": ["write","delete","create_index"]
    }
  ]
}

#创建logstash_用户
POST /_xpack/security/user/logstash_internal
{
  "password" : "changeme",
  "roles" : [ "logstash_writer"],
  "full_name" : "Internal Logstash User"
}

接着在logstash服务器上修改其配置文件:

[root@logstash ~]# vim /etc/logstash/conf.d/test.conf
output {
        if [type] == "nginx" {
                elasticsearch {
                        hosts => "10.10.10.6:9200"
                        index => "logstash-testlog"
                        user => logstash_internal      #配置logstash与elasticsearch认证的账号
                        password => "123456"    配置logstash与elasticsearch认证的密码
        }       }
}

最后重启logstash服务即可。

此时使用此前修改密码的用户elastic和kibana 即可登录kibana界面进行管理监控,并可以通过在kibana界面的Management中管理创建用户和用户的权限。

二、配置filebeat和logstash的安全传输

默认情况下filebeat和logstash之前的传输是不加密的,但是我们可以通过配置SSL来使用filebeat和logstash之前的日志传输更加安全可靠。

1、创建SSL证书

首先需要分别在logstash和filebeat端创建其SSL证书和密钥。
修改filebeat端的/etc/pki/tls/openssl.cnf文件:

[root@web ~]# vim /etc/pki/tls/openssl.cnf 
[ v3_ca ]

subjectAltName = IP:10.10.10.8    #添加此参数,配置为当前filebeat所在的服务器IP

创建filebeat端的证书和密钥:

[root@web ~]# openssl req -subj '/CN=10.10.10.8/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/filebeat.key -out /etc/pki/tls/certs/filebeat.crt

创建完成后,将生成的证书scp到logstash服务器相应的证书和密钥目录下:

[root@web ~]# scp /etc/pki/tls/private/filebeat.key 10.10.10.7:/etc/pki/tls/private/
[root@web ~]# scp /etc/pki/tls/certs/filebeat.crt 10.10.10.7:/etc/pki/tls/certs/

接着配置logstash端的证书,修改/etc/pki/tls/openssl.cnf:

[root@logstash ~]# vim /etc/pki/tls/openssl.cnf 
[ v3_ca ]

subjectAltName = IP:10.10.10.7

创建证书和密钥:

[root@logstash ~]#  openssl req -subj '/CN=10.10.10.7/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/logstash.key -out /etc/pki/tls/certs/logstash.crt

最后跟filebeat 一样,将logstash的证书和密钥复杂到filebeat服务器的对应的目录下。

2、修改启用filebeat的ssl加密配置

配置filebeat.yml文件:

[root@web ~]# vim /etc/filebeat/filebeat.yml 
output.logstash:
  hosts: ["10.10.10.7:5044"]
  ssl.certificate_authorities: ["/etc/pki/tls/certs/logstash.crt"]    #配置logstash端传来的证书存放路径
  ssl.certificate: "/etc/pki/tls/certs/filebeat.crt"    #配置filebeat生成的证书路径
  ssl.key: "/etc/pki/tls/private/filebeat.key"    #配置filebeat生成的密钥路径

配置完成后重启filebeat服务即可

3、修改启用logstash的ssl加密配置

配置logstash的配置文件:

[root@logstash ~]# vim /etc/logstash/conf.d/test.conf
input {
        beats {
                port => 5044
                type => "nginx"
                ssl => true
                ssl_certificate_authorities => ["/etc/pki/tls/certs/filebeat.crt"]    #配置filebeat端传来的证书存放路径
                ssl_certificate => "/etc/pki/tls/certs/logstash.crt"    #配置logstash生成的证书存放路径
                ssl_key => "/etc/pki/tls/private/logstash.key"    #配置logstash生成的密钥存放路径
                ssl_verify_mode => "force_peer"    #配置SSL认证模式,force_peer强制要求对端进行证书认证。
        }
}

修改完成后重启logstash服务。

待filebeat和logstash均配置重启完成后,此时filebeat和logstash的传输已经经过ssl安全加固了。

三、配置Kibana的https访问

1、创建Kibana的ssl 证书

[root@ES ~]#  openssl req -subj '/CN=10.10.10.6/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/kibana.key -out /etc/pki/tls/certs/kibana.crt

2、修改Kibana的配置文件

[root@ES ~]# vim /etc/kibana/kibana.yml
server.ssl.enabled: true    #启动https访问
server.ssl.certificate: /etc/pki/tls/certs/kibana.crt    #配置证书存放路径
server.ssl.key: /etc/pki/tls/private/kibana.key    #配置证书密钥存放路径

修改完成后,重启kibana服务即可。

https访问

推荐阅读更多精彩内容