แแแกแฃแแ แฌแแแก แแแแแแแแแแแจแ, แแแแแชแแแแ แแแแแแแแแ แแแแ แ แแแแแแแ แแแฎแแ (, ะธ ). แฎแจแแ แจแแแแฎแแแแแจแ, แแแ แกแแแแแฃแ แ แแแแแชแแแแแ แแแแฎแแแแแ แแแแแชแแแแ แแแแแจแ. แแ แแแแแแแแก แแแแแแแ แแชแแแแแ แจแแแซแแแแแแ, แแฃ แแแแแชแแแแ แแแแแก แแแแแแแแแแก แจแแแแแ แแแแแแแกแขแ แแขแแ แแแ แแแแก แแฌแฃแฎแแแแแแ แ แแแแแแแแ แแแ แขแแแ แแแ แแแแขแ แแก แจแแแแฌแแแแแแ. แแฆแแก แฉแแแ แแแกแแฃแแ แแแ แแแแแ.
แแแแแ แแแฃแงแแแแแแแแ แแแแแแแแแ แแแแฅแแ, แ แแ แฉแแแแก แแ แแฅแขแแแแจแ แฉแแแ แแแงแแแแแ Elasticsearch-แก แแฃแ แแแแแแแก แจแแกแแแแฎแแ แแ แแแคแแ แแแชแแแก แฃแกแแคแ แแฎแแแแแก แฎแแแกแแฌแงแแแแแก, OS แแ แแ แแแ แแแฃแแ แฃแแ แฃแแแแแงแแคแแก แแฃแ แแแแแแแก แแแกแแแแแแแแแแแแ แฉแแแแก IaaS แแแแขแคแแ แแแจแ, แ แแแแแแช แแแแแงแแคแแแแแก 152-FZ, Cloud-152-แแก แแแแฎแแแแแแก.
แฉแแแ แแแแแฌแแแแ, แแ แแก แแฃ แแ แ แแแแแชแแแแ แแแแ แแแขแแ แแแขแจแ
แแแแแแแแก แงแแแแแแ แชแแแแแ แจแแแแฎแแแแแแจแ (, ) แแแแแแแกแฎแแแแแ แแแ แขแแแแ แแ แฃแแ แแขแแแแแแ แแแแแแแ แแแแแชแแแแแแ แฌแแแแแ: แแแแแชแแแแ แแแแ แแแแแฅแแแงแแแ แแแขแแ แแแขแจแ แแ แจแแกแแซแแแแแแ แแงแ แแแกแแแ แแแแแแจแแ แแแ แแแแแแขแแคแแแแชแแแก แแแ แแจแ.
แแแ แแแ แ แแแจแ, แจแแแแฎแแ แแแแแฅแแแงแแแแแก แแแขแแ แแแขแจแ. แ แแขแแ แฎแแแแ แแก? แคแแฅแขแแ, แ แแ Elasticsearch-แแก แฃแคแ แ แแแฅแแแแ แแฃแจแแแแแกแแแแก แจแแฅแแแแแ แกแแแ แกแแ แแแ แแก แแแแกแขแแ แ. แแแแกแแแแแก, แ แแ แแแแแชแแแแ แแแแแแแ แแ แแแแแแแแแ แแแฃแแแแจแแ แแแแ, แแฅแแแ แฃแแแ แแแฎแกแแแ แแแ แขแแแ. แจแแแแแแ, แแแแแแแกแขแ แแขแแ แแแ แแ แแแแแ แแ แแ แแฆแฃแแแแแ แแแแแชแแแแ แแแแแแ แฌแแแแแแก แแ แแฅแแแ แจแแแแซแแแแ แแแฃแแแแจแแ แแแ แแแแแชแแแแ แแแแแก แแแแแกแแแแ แ แแแแแแแแแ. แแแแแแแ แจแแแแแฌแแแ แแ แแก แแฃ แแ แ แแแแแชแแแแ แแแแ แแแ แแแแ. แฃแแ แแแแ แจแแแแ แแ แแฃแแแ แจแ http://[IP/ะะผั Elasticsearch]:9200/_cat/nodes?v
แแฃ แจแแแแซแแแ แจแแฎแแแแ, แแแจแแ แแแแฅแแชแ แแแก แแแกแแฎแฃแ แแแแ.
แแแแแชแแแแ แแแแแกแแแ แแแแจแแ แแก แแแชแแ
แแฎแแ แฉแแแ แแแแแแแแแแ แแกแ, แ แแ แจแแฃแซแแแแแแ แแงแแก แแแแแชแแแแ แแแแแกแแแ แแแแแแจแแ แแแ แแแขแแ แแแแชแแแก แแแ แแจแ.
Elasticsearch-แก แแฅแแก แแแแแแขแแคแแแแชแแแก แแแแฃแแ, แ แแแแแแช แแฆแฃแแแแก แแแแแชแแแแ แแแแแแ แฌแแแแแแก, แแแแ แแ แแก แฎแแแแแกแแฌแแแแแแ แแฎแแแแ แคแแกแแแ X-Pack แแแแแแแขแแแแก แแแแแแแฅแขแจแ (1 แแแ แฃแคแแกแ แแแแแงแแแแแ).
แแแ แแ แแแแแแ แแก แแ แแก, แ แแ 2019 แฌแแแก แจแแแแแแแแแแ แแแแแแแแ แแแฎแกแแ แแแแแกแ แแแแแแแแ แแแแแ, แ แแแแแแแช แแแแฎแแแแ X-Pack-แก. แแแแแชแแแแ แแแแแกแแแ แแแแแแจแแ แแแแกแแก แแแแแแขแแคแแแแชแแแก แคแฃแแฅแชแแ แฎแแแแแกแแฌแแแแแ แแแฎแแ แฃแคแแกแ แแแชแแแแแแ Elasticsearch 7.3.2 แแแ แกแแแกแแแแก แแ แแฎแแแ แแแแแจแแแแ Elasticsearch 7.4.0 แฃแแแ แแฃแจแแแแก.
แแ แแแแฃแแแก แแแกแขแแแแชแแ แแแ แขแแแแ. แแแแแแแ แกแแ แแแ แแก แแแแกแแแแ แแ แแแแแแแจแแ แแ แกแแชแแแ:
RPM แกแแคแฃแซแแแแแ:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
DEB แแแคแฃแซแแแแฃแแ:
wget -qO โ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
แกแแ แแแ แแแก แจแแ แแก แฃแ แแแแ แแฅแแแแแแแก แแแงแแแแแ SSL-แแก แกแแจแฃแแแแแแ
แแแแฃแแแก แแแกแขแแแแชแแแกแแก แแชแแแแแ แแแแแชแแแแ แแแแแกแแแ แแแแแแแแจแแ แแแแแ แแแ แขแแก แแแแคแแแฃแ แแชแแ. แแก แกแแจแฃแแแแแแก แแซแแแแก SSL แแแจแแคแแ แแก. แแแแกแแแแแก, แ แแ แแแแกแขแแ แฃแแแ แกแแ แแแ แแแแ แแแแแ แซแแแแ แแ แแแแแแแแแ แแฃแจแแแแ, แแฅแแแ แฃแแแ แแแแแแแคแแแฃแ แแ แแ แแแ แจแแ แแก แฃแ แแแแ แแฅแแแแแแ SSL-แแก แแแแแงแแแแแแ.
แแแกแแแแซแแแแก แจแแ แแก แแแแแ แจแแแซแแแแ แแแแงแแ แแแก แกแแแฃแแแ แ แกแแ แขแแคแแแแขแแก แฃแคแแแแแแแกแแแแแแ แแ แแแก แแแ แแจแ. แแแ แแแแ แแแแแแแ, แงแแแแแคแแ แ แแแแแแแ: แแฅแแแ แฃแแ แแแแ แฃแแแ แแแฃแแแแจแแ แแแ CA แกแแแชแแแแแกแขแแแก. แแแ แแแแแ แแแแ แแแ แแแแแแแแแ.
- แจแแฅแแแแแ แชแแแแแ แกแ แฃแแ แแแแแแแก แกแแฎแแแแ:
export DOMAIN_CN="example.com" - แจแแฅแแแแแ แแแ แแแ แแแกแแฆแแแ:
openssl genrsa -out root-ca-key.pem 4096 - แฎแแแ แแแแฌแแ แแ root แกแแ แแแคแแแแขแก. แจแแแแแฎแแ แแแ แฃแกแแคแ แแฎแแ: แแฃ แแก แแแแแแ แแแแ แแ แแแแแแแแแฃแแแ, แแแแแ แงแแแแ แฐแแกแขแก แจแแ แแก แกแแญแแ แ แแฅแแแแ แฎแแแแฎแแ แแแแคแแแฃแ แแชแแ.
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem - แจแแฅแแแแแ แแแแแแแกแขแ แแขแแ แแก แแแกแแฆแแแ:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem - แจแแฅแแแแแ แแแแฎแแแแ แกแแ แแแคแแแแขแแ แฎแแแแแฌแแ แแกแแแแก:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr - แจแแฅแแแแแ แแแแแแแกแขแ แแขแแ แแก แกแแ แขแแคแแแแขแ:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem - แจแแฅแแแแแ แกแแ แแแคแแแแขแแแ Elasticsearch แแแแแซแแกแแแแก:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem - แจแแฅแแแแแ แฎแแแแแฌแแ แแก แแแแฎแแแแ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr - แกแแ แแแคแแแแขแแ แฎแแแแแฌแแ แ:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem - แแแแแแแกแแ แกแแ แแแคแแแแขแ Elasticsearch แแแแแซแแแก แจแแ แแก แจแแแแแ แกแแฅแแฆแแแแแจแ:
/etc/elasticsearch/
แฉแแแ แแแญแแ แแแแ แคแแแแแแ:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem - แจแแชแแแ /etc/elasticsearch/elasticsearch.yml โ แจแแชแแแแแ แกแแ แแแคแแแแขแแแแก แแฅแแแ แคแแแแแแแก แกแแฎแแแ แฉแแแแก แแแแ แแแแแ แแ แแแฃแแแ:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: โ CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: โ CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
แจแแแ แแแแฎแแแ แแแแแแแกแแแแก แแแ แแแแแแก แจแแชแแแ
- แฅแแแแแ แแแชแแแฃแแ แแ แซแแแแแแก แแแแแงแแแแแแ, แฉแแแ แแแแแแแขแแแ แแแ แแแแก แฐแแจแก แแแแกแแแจแ:
sh ${OD_SEC}/tools/hash.sh -p [ะฟะฐัะพะปั] - แจแแชแแแแแ แคแแแแจแ แฐแแจแ แแแฆแแแฃแแจแ:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
Firewall-แแก แแแงแแแแแ OS-แจแ
- แแแแชแแ แกแแจแฃแแแแแ firewall-แก แแแแฌแงแแก:
systemctl enable firewalld - แแแแแ แแแแฃแจแแแ:
systemctl start firewalld - Elasticsearch-แแแ แแแแจแแ แแก แแแจแแแแ:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent - แแแแแขแแแ แแแ firewall-แแก แฌแแกแแแ:
firewall-cmd --reload - แแฅ แแ แแก แแฃแจแแแแแก แฌแแกแแแ:
firewall-cmd --list-all
แฉแแแแ แงแแแแ แชแแแแแแแแก แแแแแงแแแแแ Elasticsearch-แจแ
- แจแแฅแแแแแ แชแแแแแ แกแแฅแแฆแแแแแก แกแ แฃแแ แแแแแแแ แแแแแแแขแแ:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/" - แแแแแ แแแแฃแจแแแ แกแแ แแแขแ, แ แแแแแแช แแแแแแฎแแแแก แแแ แแแแแก แแ แจแแแแแฌแแแแก แแแ แแแแขแ แแแก:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem - แจแแแแแฌแแแ แแ แแก แแฃ แแ แ แชแแแแแแแแแ แแแแแงแแแแแฃแแ:
curl -XGET https://[IP/ะะผั Elasticsearch]:9200/_cat/nodes?v -u admin:[ะฟะฐัะพะปั] --insecure
แกแฃแ แแก แแ แแก, แแก แแ แแก แแแแแแแแฃแ แ แแแ แแแแขแ แแแ, แ แแแแแแแช แแชแแแก Elasticsearch-แก แแ แแแแขแแ แแแแแฃแแ แแแแจแแ แแแแกแแแ.
แฌแงแแ แ: www.habr.com