ProHoster > Blog > Rianachd > Elastic fo ghlas is iuchair: a’ comasachadh roghainnean tèarainteachd brabhsair Elasticsearch airson faighinn a-steach bhon taobh a-staigh agus a-muigh
Elastic fo ghlas is iuchair: a’ comasachadh roghainnean tèarainteachd brabhsair Elasticsearch airson faighinn a-steach bhon taobh a-staigh agus a-muigh
Tha Elastic Stack na inneal ainmeil ann am margaidh shiostaman SIEM (gu fìrinneach, chan e a-mhàin iad). Faodaidh e tòrr dàta de dhiofar mheudan a chruinneachadh, an dà chuid mothachail agus nach eil gu math mothachail. Chan eil e gu tur ceart mura h-eil ruigsinneachd air na h-eileamaidean Elastic Stack fhèin air a dhìon. Gu gnàthach, bidh a h-uile eileamaid Elastic taobh a-muigh a ’bhogsa (luchd-cruinneachaidh Elasticsearch, Logstash, Kibana, agus Beats) a’ ruith air protocolaidhean fosgailte. Agus ann an Kibana fhèin, tha dearbhadh ciorramach. Faodar na h-eadar-obrachaidhean sin uile a dhèanamh tèarainte agus san artaigil seo innsidh sinn dhut mar a nì thu seo. Airson goireasachd, roinn sinn an aithris ann an 3 blocaichean semantic:
Modail ruigsinneachd dàta stèidhichte air dreuchd
Tèarainteachd dàta taobh a-staigh buidheann Elasticsearch
A’ dìon dàta taobh a-muigh brabhsair Elasticsearch
Mion-fhiosrachadh fon ghearradh.
Modail ruigsinneachd dàta stèidhichte air dreuchd
Ma stàlaicheas tu Elasticsearch agus nach gleus thu e ann an dòigh sam bith, bidh cothrom air a h-uile clàr-amais fosgailte don h-uile duine. Uill, no an fheadhainn as urrainn curl a chleachdadh. Gus seo a sheachnadh, tha modal dreuchd aig Elasticsearch a tha ri fhaighinn a’ tòiseachadh le ballrachd Bunasach (a tha an-asgaidh). Gu sgeamaigeach tha e a’ coimhead rudeigin mar seo:
Dè tha san dealbh
Is e luchd-cleachdaidh a h-uile duine as urrainn logadh a-steach a’ cleachdadh an teisteanasan.
Is e goireasan clàran-amais, sgrìobhainnean, raointean, luchd-cleachdaidh, agus buidhnean stòraidh eile (chan eil am modal dreuchd airson cuid de ghoireasan ri fhaighinn ach le fo-sgrìobhaidhean pàighte).
Gu gnàthach tha Elasticsearch air luchd-cleachdaidh bogsa, ris am bheil iad ceangailte dreuchdan bogsa. Cho luath ‘s a chuireas tu an comas roghainnean tèarainteachd, faodaidh tu tòiseachadh gan cleachdadh sa bhad.
Gus tèarainteachd a chomasachadh ann an roghainnean Elasticsearch, feumaidh tu a chuir ris an fhaidhle rèiteachaidh (gu gnàthach is e seo elasticsearch/config/elasticsearch.yml) loidhne ùr:
xpack.security.enabled: true
Às deidh dhut am faidhle rèiteachaidh atharrachadh, cuir air bhog no ath-thòisich Elasticsearch airson na h-atharrachaidhean a thoirt gu buil. Is e an ath cheum faclan-faire a shònrachadh do luchd-cleachdaidh bogsa. Dèanamaid seo gu h-eadar-ghnìomhach a’ cleachdadh an àithne gu h-ìosal:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
Bidh sinn a ’sgrùdadh:
[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1
Faodaidh tu thu fhèin a chuir air a’ chùl - tha na roghainnean air taobh Elasticsearch crìochnaichte. A-nis tha an t-àm ann Kibana a rèiteachadh. Ma ruitheas tu e an-dràsta, nochdaidh mearachdan, agus mar sin tha e cudromach prìomh stòr a chruthachadh. Tha seo air a dhèanamh ann an dà òrdugh (cleachdaiche kibana agus am facal-faire a chaidh a chuir a-steach aig a’ cheum cruthachadh facal-faire ann an Elasticsearch):
Ma tha a h-uile dad ceart, tòisichidh Kibana ag iarraidh logadh a-steach agus facal-faire. Tha an fho-sgrìobhadh Bunasach a’ toirt a-steach modal dreuchd stèidhichte air luchd-cleachdaidh a-staigh. A’ tòiseachadh le Òr, faodaidh tu siostaman dearbhaidh taobh a-muigh a cheangal - LDAP, PKI, Active Directory agus siostaman soidhnidh singilte.
Faodaidh còraichean-slighe gu nithean taobh a-staigh Elasticsearch a bhith cuibhrichte cuideachd. Ach, airson an aon rud a dhèanamh airson sgrìobhainnean no raointean, bidh feum agad air ballrachd pàighte (bidh an sòghalachd seo a’ tòiseachadh leis an ìre Platinum). Tha na roghainnean sin rim faighinn ann an eadar-aghaidh Kibana no tro API tèarainteachd. Faodaidh tu sgrùdadh a dhèanamh air a’ chlàr air a bheil thu eòlach mu thràth Dev Tools:
Tèarainteachd dàta taobh a-staigh buidheann Elasticsearch
Nuair a bhios Elasticsearch a’ ruith ann am brabhsair (a tha cumanta), bidh suidheachaidhean tèarainteachd taobh a-staigh a’ bhuidheann a’ fàs cudromach. Airson conaltradh tèarainte eadar nodan, bidh Elasticsearch a’ cleachdadh protocol TLS. Gus eadar-obrachadh tèarainte a stèidheachadh eatorra, feumaidh tu teisteanas. Bidh sinn a’ gineadh teisteanas agus iuchair phrìobhaideach ann an cruth PEM:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem
Às deidh dhut an àithne gu h-àrd a chuir an gnìomh, san eòlaire /../elasticsearch nochdaidh tasglann elastic-stack-ca.zip. Na bhroinn gheibh thu teisteanas agus iuchair phrìobhaideach le leudachaidhean crt и prìomh fa leth. Tha e ciallach an cur air goireas co-roinnte, a bu chòir a bhith ruigsinneach bho gach nod sa bhuidheann.
Feumaidh gach nód a-nis na teisteanasan agus na h-iuchraichean prìobhaideach aige fhèin stèidhichte air an fheadhainn san eòlaire co-roinnte. Nuair a chuireas tu an àithne an gnìomh, thèid iarraidh ort facal-faire a shuidheachadh. Faodaidh tu roghainnean a bharrachd -ip agus -dns a chur ris airson dearbhadh iomlan air nodan eadar-ghnìomhach.
Mar thoradh air an àithne a chur an gnìomh, gheibh sinn teisteanas agus iuchair phrìobhaideach ann an cruth PKCS#12, air a dhìon le facal-faire. Chan eil air fhàgail ach am faidhle a chaidh a chruthachadh a ghluasad p12 dhan chlàr rèiteachaidh:
Bidh sinn a’ cur air bhog a h-uile nod Elasticsearch agus a’ cur an gnìomh curl. Ma chaidh a h-uile càil a dhèanamh ceart, thèid freagairt le grunn nodan a thilleadh:
Tha roghainn tèarainteachd eile ann - sìoladh seòladh IP (ri fhaighinn ann an ballrachdan bhon ìre Òir). Leigidh seo leat liostaichean geal de sheòlaidhean IP a chruthachadh às am faigh thu cead faighinn gu nodan.
A’ dìon dàta taobh a-muigh brabhsair Elasticsearch
Tha taobh a-muigh na buidhne a’ ciallachadh a bhith a’ ceangal innealan bhon taobh a-muigh: Kibana, Logstash, Beats no teachdaichean eile bhon taobh a-muigh.
Gus taic airson https a rèiteachadh (an àite http), cuir loidhnichean ùra ri elasticsearch.yml:
Às deidh na h-iuchraichean a chuir ris, tha nodan Elasticsearch deiseil airson ceangal tro https. A-nis faodar an cur air bhog.
Is e an ath cheum iuchair a chruthachadh gus Kibana a cheangal agus a chuir ris an rèiteachadh. Stèidhichte air an teisteanas a tha mar-thà suidhichte san eòlaire co-roinnte, cruthaichidh sinn teisteanas ann an cruth PEM (PKCS # 12 Kibana, Logstash agus Beats nach eil a’ toirt taic fhathast):
Tha na h-iuchraichean ann, agus mar sin chan eil air fhàgail ach an rèiteachadh Kibana atharrachadh gus an tòisich e gan cleachdadh. Anns an fhaidhle rèiteachaidh kibana.yml, atharraich http gu https agus cuir loidhnichean le roghainnean ceangail SSL. Bidh na trì loidhnichean mu dheireadh a’ rèiteachadh conaltradh tèarainte eadar brobhsair an neach-cleachdaidh agus Kibana.
Mar sin, tha na roghainnean air an crìochnachadh agus tha cothrom air dàta anns a’ bhuidheann Elasticsearch air a chrioptachadh.
Ma tha ceistean agad mu chomas Elastic Stack air ballrachdan an-asgaidh no pàighte, a’ cumail sùil air gnìomhan no a’ cruthachadh siostam SIEM, fàg iarrtas gu foirm fios-air-ais air an làrach-lìn againn.
Barrachd de na h-artaigilean againn mu Elastic Stack air Habré: