1.为什么增加安全认证

因为涉及ES的安全性，不增加安全性完全不够会有数据丢失甚至被删库的危险，所有虽然我们大部分运行环境是内网，但是我们还是希望有安全方面的保障。ES账号密码登录等官方是通过x-pack来实现，但是只有30天试用License，然后需要收费，我们采用一些方式来绕开，你懂得！6.8以上似乎基本安全已经放开。

2.当前状态

我们版本是6.5.4，从下图可以看到当前License是Basic

升级前License

3.实施步骤

x-pack是ES的插件，在modules目录下。

3.1 x-pack-core-6.5.4.jar修改

在es目录下增加两个java类LicenseVerifier和XPackBuild，并将/modules/x-pack-core/x-pack-core-6.5.4.jar拷贝到es目录，目的是修改该jar中license验证类

LicenseVerifier 代码内容：

package org.elasticsearch.license;

import java.nio.*;

import org.elasticsearch.common.bytes.*;

import java.util.*;

import java.security.*;

import org.elasticsearch.common.xcontent.*;

import org.apache.lucene.util.*;

import org.elasticsearch.core.internal.io.*;

import java.io.*;

public class LicenseVerifier
{
    public static boolean verifyLicense(final License license, final byte[] encryptedPublicKeyData) {
        return true;
    }

    public static boolean verifyLicense(final License license) {
        return true;
    }
}

XPackBuild 代码内容：

package org.elasticsearch.xpack.core;
 
import org.elasticsearch.common.io.*;
import java.net.*;
import org.elasticsearch.common.*;
import java.nio.file.*;
import java.io.*;
import java.util.jar.*;
 
public class XPackBuild
{
    public static final XPackBuild CURRENT;
    private String shortHash;
    private String date;
 
    @SuppressForbidden(reason = "looks up path of xpack.jar directly")
    static Path getElasticsearchCodebase() {
        final URL url = XPackBuild.class.getProtectionDomain().getCodeSource().getLocation();
        try {
            return PathUtils.get(url.toURI());
        }
        catch (URISyntaxException bogus) {
            throw new RuntimeException(bogus);
        }
    }
 
    XPackBuild(final String shortHash, final String date) {
        this.shortHash = shortHash;
        this.date = date;
    }
 
    public String shortHash() {
        return this.shortHash;
    }
 
    public String date() {
        return this.date;
    }
 
    static {
        final Path path = getElasticsearchCodebase();
        String shortHash = null;
        String date = null;
        Label_0157: {
            shortHash = "Unknown";
            date = "Unknown";
        }
        CURRENT = new XPackBuild(shortHash, date);
    }
}

使用javac对两个类进行编译

javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" LicenseVerifier.java
javac -cp ".:./x-pack-core-6.5.4.jar:./lib/*" XPackBuild.java

然后会编译后的class生成，替换到x-pack-core-6.5.4.jar中，并更新到集群中各个节点中的/modules/x-pack-core/x-pack-core-6.5.4.jar

3.2 集群间SSL

1）生成CA证书，bin/elasticsearch-certutil ca，将生成文件elastic-stack-ca.p12，避免麻烦生成时一路Enter下去。
2）bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 将生成新文件elastic-certificates.p12。会提示输入证书和密钥密码，避免麻烦直接Enter来密码留空。
3）将elastic-certificates.p12复制到每个节点的/config/certs目录下

mkdir -p config/certs
mv elastic-certificates.p12 config/certs/

4）配置config/elasticsearch.yml

xpack.security.enabled: false
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

其中xpack.security.transport.ssl开头的配置节点间数据传输的。
5）重启ES集群

3.3 License升级

去官网申请license，官网：https://license.elastic.co/registration，会得到一个json文件，我们修改json里内容

# type由basic修改为platinum，修改为platinum白金
"type":"platinum"
# 过期时间写到2050年
"expiry_date_in_millis": 2524579200999

就修改后的license.json放到某个节点上，使用下面命令导入License，其中IP和端口为随便一个主节点的。

curl -XPUT 'http://192.168.182.123:9200/_xpack/license' -H "Content-Type: application/json" -d @license.json

查看Kibana，发现license已升级

升级后License

3.4 登录密码设置

各个节点中config/elasticsearch.yml修改xpack.security.enabled修改为true：xpack.security.enabled: true，然后重启各个节点，重启后访问就需要账号密码了。在某一个主节点执行

bin/elasticsearch-setup-passwords interactive

设置内置账号的密码，记住设置的密码。

3.5 Kibana设置

此时Kibana是连不上ES的，修改kibana.yml，增加

elasticsearch.username: "kibana"
elasticsearch.password: "yourpassword"

重启Kibana后，访问需要登录

Kibana登录

输入账号密码后，即可访问。
其中Management下的Users和Roles的配置需要elastic用户登录来操作。