লিক এড়াতে ইলাস্টিকসার্চ কীভাবে কনফিগার করবেন

গত এক বছরে, ডাটাবেস থেকে অনেক ফাঁস হয়েছে Elasticsearch (এখানে, এখানে и এখানে) অনেক ক্ষেত্রে, ব্যক্তিগত তথ্য ডাটাবেসে সংরক্ষিত ছিল। এই ফাঁসগুলি এড়ানো যেত যদি, ডাটাবেস স্থাপন করার পরে, অ্যাডমিনিস্ট্রেটররা কয়েকটি সাধারণ সেটিংস পরীক্ষা করতে বিরক্ত করত। আজ আমরা তাদের সম্পর্কে কথা বলব।

আসুন অবিলম্বে একটি রিজার্ভেশন করি যে আমাদের অনুশীলনে আমরা আমাদের IaaS প্ল্যাটফর্মে তথ্য সুরক্ষা সরঞ্জাম, OS এবং সফ্টওয়্যারগুলির লগগুলি সংরক্ষণ করতে এবং বিশ্লেষণ করতে Elasticsearch ব্যবহার করি, যা 152-FZ, Cloud-152-এর প্রয়োজনীয়তাগুলি মেনে চলে৷ 

আমরা পরীক্ষা করি যে ডাটাবেসটি ইন্টারনেটে "স্টিক আউট" হয় কিনা

ফাঁসের বেশিরভাগ পরিচিত ক্ষেত্রে (এখানে, এখানে) আক্রমণকারী সহজভাবে এবং নজিরবিহীনভাবে ডেটাতে অ্যাক্সেস অর্জন করেছিল: ডাটাবেসটি ইন্টারনেটে প্রকাশিত হয়েছিল এবং প্রমাণীকরণ ছাড়াই এটির সাথে সংযোগ করা সম্ভব ছিল।  

প্রথমত, ইন্টারনেটে প্রকাশনা নিয়ে আলোচনা করা যাক। কেন এটা ঘটবে? আসল বিষয়টি হল ইলাস্টিকসার্চের আরও নমনীয় অপারেশনের জন্য সুপারিশ করা হয় তিনটি সার্ভারের একটি ক্লাস্টার তৈরি করুন। ডাটাবেসগুলি একে অপরের সাথে যোগাযোগ করার জন্য, আপনাকে পোর্ট খুলতে হবে। ফলস্বরূপ, অ্যাডমিনিস্ট্রেটররা কোনোভাবেই ডাটাবেসের অ্যাক্সেস সীমাবদ্ধ করে না এবং আপনি যে কোনও জায়গা থেকে ডাটাবেসের সাথে সংযোগ করতে পারেন। ডাটাবেস বাইরে থেকে অ্যাক্সেসযোগ্য কিনা তা পরীক্ষা করা সহজ। শুধু ব্রাউজারে প্রবেশ করুন http://[IP/Имя Elasticsearch]:9200/_cat/nodes?v

আপনি যদি প্রবেশ করতে পারেন তবে এটি বন্ধ করতে দৌড়ান।

ডাটাবেসের সাথে সংযোগ রক্ষা করা

এখন আমরা এটি তৈরি করব যাতে প্রমাণীকরণ ছাড়া ডাটাবেসের সাথে সংযোগ করা অসম্ভব।

ইলাস্টিকসার্চের একটি প্রমাণীকরণ মডিউল রয়েছে যা ডাটাবেসে অ্যাক্সেস সীমিত করে, তবে এটি শুধুমাত্র প্রদত্ত এক্স-প্যাক প্লাগইন সেটে উপলব্ধ (1 মাসের বিনামূল্যে ব্যবহার)।

সুসংবাদটি হল যে 2019 সালের শরত্কালে, অ্যামাজন তার উন্নয়নগুলি খুলেছিল, যা এক্স-প্যাকের সাথে ওভারল্যাপ করে। একটি ডাটাবেসের সাথে সংযোগ করার সময় প্রমাণীকরণ ফাংশনটি ইলাস্টিকসার্চ 7.3.2 সংস্করণের জন্য একটি বিনামূল্যে লাইসেন্সের অধীনে উপলব্ধ হয়েছে এবং ইলাস্টিকসার্চ 7.4.0 এর জন্য একটি নতুন প্রকাশ ইতিমধ্যেই কাজ করছে৷

এই প্লাগইন ইনস্টল করা সহজ. সার্ভার কনসোলে যান এবং সংগ্রহস্থল সংযোগ করুন:

RPM ভিত্তিক:

curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo

yum update

yum install opendistro-security

DEB ভিত্তিক:

wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -

SSL এর মাধ্যমে সার্ভারের মধ্যে মিথস্ক্রিয়া সেট আপ করা হচ্ছে

প্লাগইন ইনস্টল করার সময়, ডাটাবেসের সাথে সংযোগকারী পোর্টের কনফিগারেশন পরিবর্তন হয়। এটি SSL এনক্রিপশন সক্ষম করে। ক্লাস্টার সার্ভারগুলি একে অপরের সাথে কাজ চালিয়ে যাওয়ার জন্য, আপনাকে SSL ব্যবহার করে তাদের মধ্যে মিথস্ক্রিয়া কনফিগার করতে হবে।

হোস্টদের মধ্যে বিশ্বাস তার নিজস্ব শংসাপত্র কর্তৃপক্ষের সাথে বা ছাড়াই প্রতিষ্ঠিত হতে পারে। প্রথম পদ্ধতিতে, সবকিছু পরিষ্কার: আপনাকে শুধু CA বিশেষজ্ঞদের সাথে যোগাযোগ করতে হবে। এর সরাসরি দ্বিতীয় সরানো যাক.

1. সম্পূর্ণ ডোমেন নামের সাথে একটি ভেরিয়েবল তৈরি করুন:

   export DOMAIN_CN="example.com"

2. একটি ব্যক্তিগত কী তৈরি করুন:

   openssl genrsa -out root-ca-key.pem 4096

3. মূল শংসাপত্রে স্বাক্ষর করুন। এটি সুরক্ষিত রাখুন: যদি এটি হারিয়ে যায় বা আপস করা হয়, তবে সমস্ত হোস্টের মধ্যে বিশ্বাস পুনরায় কনফিগার করতে হবে।

   openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" 
   -key root-ca-key.pem -out root-ca.pem

4. একটি প্রশাসক কী তৈরি করুন:

   openssl genrsa -out admin-key-temp.pem 4096
   openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt 
   -v1 PBE-SHA1-3DES -out admin-key.pem

5. শংসাপত্রে স্বাক্ষর করার জন্য একটি অনুরোধ তৈরি করুন:

   openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " 
   -key admin-key.pem -out admin.csr

6. একটি প্রশাসক শংসাপত্র তৈরি করুন:

   openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem 
   -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem

7. ইলাস্টিক সার্চ নোডের জন্য শংসাপত্র তৈরি করুন:

   export NODENAME="node-01"
   openssl genrsa -out ${NODENAME}-key-temp.pem 4096
   openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt 
   -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem

8. একটি স্বাক্ষর অনুরোধ তৈরি করুন:

   openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}"  
   -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" 
   -key ${NODENAME}-key.pem -out ${NODENAME}.csr

9. শংসাপত্রে স্বাক্ষর করা:

   openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial 
   -sha256 -out node.pem

10. নিম্নলিখিত ফোল্ডারে Elasticsearch নোডের মধ্যে শংসাপত্রটি রাখুন:

    /etc/elasticsearch/

    
    আমাদের ফাইল দরকার:

            node-01-key.pem
    	node-01.pem
    	admin-key.pem
    	admin.pem
    	root-ca.pem

11. কাস্টমাইজ /etc/elasticsearch/elasticsearch.yml - সার্টিফিকেট সহ ফাইলগুলির নাম পরিবর্তন করুন যা আমাদের দ্বারা তৈরি করা হয়েছে:

    opendistro_security.ssl.transport.pemcert_filepath: node-01.pem                                                                                                                                                                                    
    	opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem                                                                                                                                                                                 
    	opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem                                                                                                                                                                              
    	opendistro_security.ssl.transport.enforce_hostname_verification: false                                                                                                                                                                             
    	opendistro_security.ssl.http.enabled: true                                                                                                                                                                                                         
    	opendistro_security.ssl.http.pemcert_filepath: node-01.pem                                                                                                                                                                                         
    	opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem                                                                                                                                                                                      
    	opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem                                                                                                                                                                                   
    	opendistro_security.allow_unsafe_democertificates: false                                                                                                                                                                                           
    	opendistro_security.allow_default_init_securityindex: true                                                                                                                                                                                         
    	opendistro_security.authcz.admin_dn:                                                                                                                                                                                                               
    	  − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU                                                                                                                                                                                                  
    	opendistro_security.nodes_dn:                                                                                                                                                                                                                      
    	  − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU

অভ্যন্তরীণ ব্যবহারকারীদের জন্য পাসওয়ার্ড পরিবর্তন

1. নীচের কমান্ডটি ব্যবহার করে, আমরা কনসোলে পাসওয়ার্ড হ্যাশ আউটপুট করি:

   sh ${OD_SEC}/tools/hash.sh -p [пароль]

2. প্রাপ্ত একটি ফাইলের হ্যাশ পরিবর্তন করুন:

   /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml

OS এ একটি ফায়ারওয়াল সেট আপ করা হচ্ছে

1. ফায়ারওয়াল শুরু করার অনুমতি দিন:

   systemctl enable firewalld

2. আসুন এটি চালু করা যাক:

   systemctl start firewalld

3. ইলাস্টিকসার্চে সংযোগের অনুমতি দিন:

   firewall-cmd --set-default-zone work
   firewall-cmd --zone=work --add-port=9200/TCP --permanent

4. ফায়ারওয়াল নিয়ম পুনরায় লোড করুন:

   firewall-cmd --reload

5. এখানে কাজের নিয়ম রয়েছে:

   firewall-cmd --list-all

ইলাস্টিকসার্চে আমাদের সমস্ত পরিবর্তন প্রয়োগ করা হচ্ছে

1. প্লাগইন সহ ফোল্ডারের সম্পূর্ণ পথ সহ একটি ভেরিয়েবল তৈরি করুন:

   export  OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"

2. আসুন একটি স্ক্রিপ্ট চালাই যা পাসওয়ার্ড আপডেট করবে এবং সেটিংস চেক করবে:

   ${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ 
   -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem 
   -cert /etc/elasticsearch/admin.pem  
   -key /etc/elasticsearch/admin-key.pem

3. পরিবর্তনগুলি প্রয়োগ করা হয়েছে কিনা তা পরীক্ষা করুন:

   curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure

এতটুকুই, এগুলি হল ন্যূনতম সেটিংস যা ইলাস্টিকসার্চকে অননুমোদিত সংযোগ থেকে রক্ষা করে।

উত্স: www.habr.com