เชเซเชฒเซเชฒเชพ เชเช เชตเชฐเซเชทเชฎเชพเช, เชกเซเชเชพเชฌเซเชเชฎเชพเชเชฅเซ เชเชฃเชพ เชฒเซเช เชฅเชฏเชพ เชเซ
เชเชพเชฒเซ เชคเชฐเชค เช เชเช เชเชฐเชเซเชทเชฃ เชเชฐเซเช เชเซ เช เชฎเชพเชฐเซ เชชเซเชฐเซเชเซเชเชฟเชธเชฎเชพเช เช เชฎเซ เช เชฎเชพเชฐเชพ IaaS เชชเซเชฒเซเชเชซเซเชฐเซเชฎเชฎเชพเช เชฎเชพเชนเชฟเชคเซ เชธเซเชฐเชเซเชทเชพ เชธเชพเชงเชจเซ, OS เช เชจเซ เชธเซเชซเซเชเชตเซเชฐเชจเชพ เชฒเซเชเชจเซ เชธเชเชเซเชฐเชนเชฟเชค เชเชฐเชตเชพ เช เชจเซ เชตเชฟเชถเซเชฒเซเชทเชฃ เชเชฐเชตเชพ เชฎเชพเชเซ Elasticsearch เชจเซ เชเชชเชฏเซเช เชเชฐเซเช เชเซเช, เชเซ 152-FZ, Cloud-152 เชจเซ เชเชฐเซเชฐเชฟเชฏเชพเชคเซเชจเซเช เชชเชพเชฒเชจ เชเชฐเซ เชเซ.
เช เชฎเซ เชคเชชเชพเชธ เชเชฐเซเช เชเซเช เชเซ เชกเซเชเชพเชฌเซเช เชเชจเซเชเชฐเชจเซเช เชชเชฐ "เชเซเชเชพเชฏเซเชฒเซ" เชเซ เชเซ เชเซเชฎ
เชฒเซเชเชจเชพ เชฎเซเชเชพเชญเชพเชเชจเชพ เชเชพเชฃเซเชคเชพ เชเซเชธเซเชฎเชพเช (
เชชเซเชฐเชฅเชฎ, เชเชพเชฒเซ เชเชจเซเชเชฐเชจเซเช เชชเชฐ เชชเซเชฐเชเชพเชถเชจ เชธเชพเชฅเซ เชตเซเชฏเชตเชนเชพเชฐ เชเชฐเซเช. เชเชตเซเช เชเซเชฎ เชฅเชพเชฏ เชเซ? เชนเชเซเชเชค เช เชเซ เชเซ Elasticsearch เชจเซ เชตเชงเซ เชฒเชตเชเซเช เชเชพเชฎเชเซเชฐเซ เชฎเชพเชเซ
เชเซ เชคเชฎเซ เช เชเชฆเชฐ เชชเซเชฐเชตเซเชถ เชเชฐเซ เชถเชเซ, เชคเซ เชคเซเชจเซ เชฌเชเชง เชเชฐเชตเชพ เชฆเซเชกเซ.
เชกเซเชเชพเชฌเซเช เชธเชพเชฅเซเชจเชพ เชเซเชกเชพเชฃเชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ
เชนเชตเซ เช เชฎเซ เชคเซเชจเซ เชฌเชจเชพเชตเซเชถเซเช เชเซเชฅเซ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เชตเชฟเชจเชพ เชกเซเชเชพเชฌเซเช เชธเชพเชฅเซ เชเชจเซเชเซเช เชฅเชตเซเช เช เชถเชเซเชฏ เชเซ.
Elasticsearch เชชเชพเชธเซ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เชฎเซเชกเซเชฏเซเชฒ เชเซ เชเซ เชกเซเชเชพเชฌเซเชเชจเซ เชเชเซเชธเซเชธเชจเซ เชฎเชฐเซเชฏเชพเชฆเชฟเชค เชเชฐเซ เชเซ, เชชเชฐเชเชคเซ เชคเซ เชฎเชพเชคเซเชฐ เชชเซเชเชก X-Pack เชชเซเชฒเชเชเชจ เชธเซเชเชฎเชพเช เช เชเชชเชฒเชฌเซเชง เชเซ (1 เชฎเชนเชฟเชจเชพเชจเซ เชฎเชซเชค เชเชชเชฏเซเช).
เชธเชพเชฐเชพ เชธเชฎเชพเชเชพเชฐ เช เชเซ เชเซ 2019 เชจเชพ เชชเชพเชจเชเชฐเชฎเชพเช, เชเชฎเซเชเซเชจเซ เชคเซเชจเชพ เชตเชฟเชเชพเชธ เชเซเชฒเซเชฏเชพ, เชเซ X-Pack เชธเชพเชฅเซ เชเชตเชฐเชฒเซเชช เชฅเชพเชฏ เชเซ. เชกเซเชเชพเชฌเซเช เชธเชพเชฅเซ เชเซเชกเชพเชฃ เชเชฐเชคเซ เชตเชเชคเซ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เชเชพเชฐเซเชฏ เชเชตเซเชคเซเชคเชฟ Elasticsearch 7.3.2 เชฎเชพเชเซ เชฎเชซเชค เชฒเชพเชฏเชธเชจเซเชธ เชนเซเช เชณ เชเชชเชฒเชฌเซเชง เชฌเชจเซเชฏเซเช เชเซ, เช เชจเซ Elasticsearch 7.4.0 เชฎเชพเชเซ เชจเชตเซเช เชชเซเชฐเชเชพเชถเชจ เชชเชนเซเชฒเซเชฅเซ เช เชเชพเชฎเชฎเชพเช เชเซ.
เช เชชเซเชฒเชเชเชจ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพ เชฎเชพเชเซ เชธเชฐเชณ เชเซ. เชธเชฐเซเชตเชฐ เชเชจเซเชธเซเชฒ เชชเชฐ เชเชพเช เช เชจเซ เชฐเชฟเชชเซเชเซเชเชฐเซเชจเซ เชเชจเซเชเซเช เชเชฐเซ:
RPM เชเชงเชพเชฐเชฟเชค:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
DEB เชเชงเชพเชฐเชฟเชค:
wget -qO โ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
SSL เชฎเชพเชฐเชซเชคเซ เชธเชฐเซเชตเชฐ เชตเชเซเชเซ เชเซเชฐเชฟเชฏเชพเชชเซเชฐเชคเชฟเชเซเชฐเชฟเชฏเชพ เชธเซเชฏเซเชเชฟเชค เชเชฐเซ เชฐเชนเซเชฏเชพ เชเซเช
เชชเซเชฒเชเชเชจ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชคเซ เชตเชเชคเซ, เชกเซเชเชพเชฌเซเช เชธเชพเชฅเซ เชเชจเซเชเซเช เชฅเชคเชพ เชชเซเชฐเซเชเชจเซเช เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชฌเชฆเชฒเชพเชฏ เชเซ. เชคเซ SSL เชเชจเซเชเซเชฐเชฟเชชเซเชถเชจเชจเซ เชธเชเซเชทเชฎ เชเชฐเซ เชเซ. เชเซเชฒเชธเซเชเชฐ เชธเชฐเซเชตเชฐเซ เชเชเชฌเซเชเชพ เชธเชพเชฅเซ เชเชพเชฎ เชเชฐเชตเชพเชจเซเช เชเชพเชฒเซ เชฐเชพเชเชตเชพ เชฎเชพเชเซ, เชคเชฎเชพเชฐเซ SSL เชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชคเซเชฎเชจเซ เชตเชเซเชเซ เชเซเชฐเชฟเชฏเชพเชชเซเชฐเชคเชฟเชเซเชฐเชฟเชฏเชพ เชเซเช เชตเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ.
เชฏเชเชฎเชพเชจเซ เชตเชเซเชเซ เชตเชฟเชถเซเชตเชพเชธ เชคเซเชจเซ เชชเซเชคเชพเชจเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชธเชคเซเชคเชพ เชธเชพเชฅเซ เช เชฅเชตเชพ เชคเซเชจเชพ เชตเชฟเชจเชพ เชธเซเชฅเชพเชชเชฟเชค เชเชฐเซ เชถเชเชพเชฏ เชเซ. เชชเซเชฐเชฅเชฎ เชชเชฆเซเชงเชคเชฟ เชธเชพเชฅเซ, เชฌเชงเซเช เชธเซเชชเชทเซเช เชเซ: เชคเชฎเชพเชฐเซ เชซเชเซเชค CA เชจเชฟเชทเซเชฃเชพเชคเซเชจเซ เชธเชเชชเชฐเซเช เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ. เชเชพเชฒเซ เชธเซเชงเชพ เชฌเซเชเชพ เชชเชฐ เชเชเช.
- เชธเชเชชเซเชฐเซเชฃ เชกเซเชฎเซเชจ เชจเชพเชฎ เชธเชพเชฅเซ เชเชฒ เชฌเชจเชพเชตเซ:
export DOMAIN_CN="example.com"
- เชเชพเชจเชเซ เชเซ เชฌเชจเชพเชตเซ:
openssl genrsa -out root-ca-key.pem 4096
- เชฐเซเช เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชชเชฐ เชธเชนเซ เชเชฐเซ. เชคเซเชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชฐเชพเชเซ: เชเซ เชคเซ เชเซเชตเชพเช เชเชพเชฏ เช
เชฅเชตเชพ เชเซเชกเชพ เชฅเช เชเชพเชฏ, เชคเซ เชฌเชงเชพ เชฏเชเชฎเชพเชจเซ เชตเชเซเชเซเชจเชพ เชตเชฟเชถเซเชตเชพเชธเชจเซ เชซเชฐเซเชฅเซ เชเซเช เชตเชตเชพเชจเซ เชเชฐเซเชฐ เชชเชกเชถเซ.
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem
- เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เชเซ เชฌเชจเชพเชตเซ:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
- เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชชเชฐ เชธเชนเซ เชเชฐเชตเชพ เชฎเชพเชเซ เชตเชฟเชจเชเชคเซ เชฌเชจเชพเชตเซ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr
- เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชฌเชจเชพเชตเซ:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem
- Elasticsearch เชจเซเชก เชฎเชพเชเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชฌเชจเชพเชตเซ:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem
- เชธเชนเซ เชตเชฟเชจเชเชคเซ เชฌเชจเชพเชตเซ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr
- เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชชเชฐ เชนเชธเซเชคเชพเชเซเชทเชฐ:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem
- เชจเซเชเซเชจเชพ เชซเซเชฒเซเชกเชฐเชฎเชพเช Elasticsearch เชจเซเชกเซเชธ เชตเชเซเชเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชฎเซเชเซ:
/etc/elasticsearch/
เช เชฎเชจเซ เชซเชพเชเชฒเซเชจเซ เชเชฐเซเชฐ เชเซ:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem
- เชเชธเซเชเชฎเชพเชเช เชเชฐเซ /etc/elasticsearch/elasticsearch.yml - เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชธเชพเชฅเซเชจเซ เชซเชพเชเชฒเซเชจเซเช เชจเชพเชฎ เช
เชฎเชพเชฐเชพ เชฆเซเชตเชพเชฐเชพ เชเชจเชฐเซเช เชเชฐเซเชฒ เชจเชพเชฎเชฎเชพเช เชฌเชฆเชฒเซ:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: โ CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: โ CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
เชเชเชคเชฐเชฟเช เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเช เชฎเชพเชเซ เชชเชพเชธเชตเชฐเซเชก เชฌเชฆเชฒเชตเชพ
- เชจเซเชเซเชจเชพ เชเชฆเซเชถเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ, เช
เชฎเซ เชเชจเซเชธเซเชฒ เชชเชฐ เชชเชพเชธเชตเชฐเซเชก เชนเซเชถ เชเชเชเชชเซเช เชเชฐเซเช เชเซเช:
sh ${OD_SEC}/tools/hash.sh -p [ะฟะฐัะพะปั]
- เชซเชพเชเชฒเชฎเชพเช เชนเซเชถเชจเซ เชชเซเชฐเชพเชชเซเชค เชเชฐเซเชฒ เชเชเชฎเชพเช เชฌเชฆเชฒเซ:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
OS เชฎเชพเช เชซเชพเชฏเชฐเชตเซเชฒ เชธเซเช เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ
- เชซเชพเชฏเชฐเชตเซเชฒเชจเซ เชชเซเชฐเชพเชฐเชเชญ เชเชฐเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ:
systemctl enable firewalld
- เชเชพเชฒเซ เชคเซเชจเซ เชฒเซเชจเซเช เชเชฐเซเช:
systemctl start firewalld
- Elasticsearch เชธเชพเชฅเซ เชเซเชกเชพเชฃเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent
- เชซเชพเชฏเชฐเชตเซเชฒ เชจเชฟเชฏเชฎเซ เชซเชฐเซเชฅเซ เชฒเซเชก เชเชฐเซ:
firewall-cmd --reload
- เช
เชนเซเช เชเชพเชฎเชจเชพ เชจเชฟเชฏเชฎเซ เชเซ:
firewall-cmd --list-all
เช เชฎเชพเชฐเชพ เชฌเชงเชพ เชซเซเชฐเชซเชพเชฐเซ Elasticsearch เชชเชฐ เชฒเชพเชเซ เชเชฐเซ เชฐเชนเซเชฏเชพ เชเซเช
- เชชเซเชฒเชเชเชจ เชธเชพเชฅเซ เชซเซเชฒเซเชกเชฐเชจเชพ เชธเชเชชเซเชฐเซเชฃ เชชเชพเชฅ เชธเชพเชฅเซ เชเชฒ เชฌเชจเชพเชตเซ:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"
- เชเชพเชฒเซ เชเช เชธเซเชเซเชฐเชฟเชชเซเช เชเชฒเชพเชตเซเช เชเซ เชชเชพเชธเชตเชฐเซเชก เช
เชชเชกเซเช เชเชฐเชถเซ เช
เชจเซ เชธเซเชเชฟเชเชเซเชธ เชคเชชเชพเชธเชถเซ:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem
- เชซเซเชฐเชซเชพเชฐเซ เชฒเชพเชเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซเชฏเชพ เชเซ เชเซ เชเซเชฎ เชคเซ เชคเชชเชพเชธเซ:
curl -XGET https://[IP/ะะผั Elasticsearch]:9200/_cat/nodes?v -u admin:[ะฟะฐัะพะปั] --insecure
เชฌเชธ, เช เชจเซเชฏเซเชจเชคเชฎ เชธเซเชเชฟเชเชเซเชธ เชเซ เชเซ เช
เชจเชงเชฟเชเซเชค เชเชจเซเชเซเชถเชจเซเชธเชฅเซ Elasticsearch เชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชเชฐเซ เชเซ.
เชธเซเชฐเซเชธ: www.habr.com