1. Shield认证服务
Shield是Elastic公司为ElasticSearch开发的一个安全插件。在安装此插件后,Shield会拦截所有对ElasticSearch的请求,并加上认证与加密,保障ElasticSearch及相关系统的安全性。
2.支持功能
用户认证
使用Shield可以定义一系列已知的用户,并用其认证用户请求。这些用户存在于抽象的“域”中。一个域可能是下面几种类型:
LDAP服务
Active Directory服务,本地esusers配置文件(类似/etc/passwd)
权限控制
Shield的权限控制包含下面几种元素:
- 被保护的资源Secured Resource:权限所应用到的对象,比如某个index,cluster等等
- 特权Priviliege:角色对对象可以执行的一种或多种操作,比如read,write等。还可以是indicies:/data/read/perlocate等某种对象特有的操作。
- 许可Permissions:对被保护的资源拥有的一个或多个特权,如read on the “products” index.
- 角色Role:由许可组成的有名字的集合.
- 用户Users:用户实体,可以被赋予0种,1种或多种角色,他们可以对被保护的资源执行相应角色所拥有的各种特权。
集群节点认证与信道加密
Shield使用SSL/TLS加密相应端口(9300),防止集群被未授权的机器监听或干扰。
IP 过滤
Shield支持基于IP的访问控制。
审计
Shield可以在ElasticSearch的日志中输出每次鉴权操作的详细信息,包括用户名,操作,操作是否被允许等等。
Shield是商业插件,需要ElasticSearch的商业许可。第一次安装许可的时候,会提供30天的免费试用权限。30天后,Shield将会屏蔽cluster health, cluster stats, index stats这几个API,其余功能不受影响。
3.shield安装
进入elasticsearch安装目录中的bin,使用plugin命令执行插件的安装
$ /usr/share/elasticsearch/bin/plugin install elasticsearch/license/latest $ /usr/share/elasticsearch/bin/plugin install elasticsearch/shield/latest $ service elasticsearch restart
如果采用deb或rpm方式安装,shield配置文件会写入/etc/elasticsearch/shield文件夹中(或者/usr/share/elasticsearch/config/shield)。
4.配置基本认证
基本身份认证,需要在创建用户时赋予不同的角色,shield角色默认包括3类:
- admin:操作和管理集群和索引
- power_user:监控集群和索引
- user:所有索引的只读权限
- transport_client
- kibana4
- kibana4_server
- logstash
- marvel_user
#####创建管理员账户 #添加用户es_admin,并加入admin角色中,密码必须6位以上 $ /usr/share/elasticsearch/bin/shield/esusers useradd es_admin -r admin #测试使用es_admin用户访问elasticsearch $ curl -u es_admin -XGET 'http://localhost:9200/' ###创建logstash角色用户 $ /usr/share/elasticsearch/bin/shield/esusers useradd logstashserver -r logstash ###创建Kibana角色用户 $ /usr/share/elasticsearch/bin/shield/esusers useradd kibanaserver -r kibana4_server
一般不建议使用Shield,由于是商业软件安装成功有一定时间的试用期,导致之后部分功能将无法使用。
转载请注明:自动化运维 » Elasticsearch之Shield认证与权限管理