របៀបកំណត់ Elasticsearch ដើម្បីជៀសវាងការលេចធ្លាយ

ក្នុង​រយៈពេល​មួយ​ឆ្នាំ​កន្លង​ទៅ​នេះ មាន​ការ​លេច​ធ្លាយ​ជា​ច្រើន​ពី​មូលដ្ឋាន​ទិន្នន័យ Elasticsearch (មើលចុះ, មើលចុះ и មើលចុះ) ក្នុងករណីជាច្រើន ទិន្នន័យផ្ទាល់ខ្លួនត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានទិន្នន័យ។ ការលេចធ្លាយទាំងនេះអាចត្រូវបានជៀសវាង ប្រសិនបើបន្ទាប់ពីដាក់ពង្រាយមូលដ្ឋានទិន្នន័យ អ្នកគ្រប់គ្រងបានរំខានក្នុងការត្រួតពិនិត្យការកំណត់សាមញ្ញមួយចំនួន។ ថ្ងៃនេះយើងនឹងនិយាយអំពីពួកគេ។

សូមធ្វើការកក់ទុកភ្លាមៗថានៅក្នុងការអនុវត្តរបស់យើង យើងប្រើ Elasticsearch ដើម្បីរក្សាទុកកំណត់ហេតុ និងវិភាគកំណត់ហេតុនៃឧបករណ៍សុវត្ថិភាពព័ត៌មាន ប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីនៅក្នុងវេទិកា IaaS របស់យើង ដែលអនុលោមតាមតម្រូវការនៃ 152-FZ, Cloud-152។ 

យើងពិនិត្យមើលថាតើមូលដ្ឋានទិន្នន័យ "បិទ" ទៅអ៊ីនធឺណិត

ក្នុងករណីភាគច្រើននៃការលេចធ្លាយ (មើលចុះ, មើលចុះ) អ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើទិន្នន័យយ៉ាងសាមញ្ញ និងមិនគួរឱ្យជឿ៖ មូលដ្ឋានទិន្នន័យត្រូវបានផ្សព្វផ្សាយនៅលើអ៊ីនធឺណិត ហើយវាអាចភ្ជាប់ទៅវាបានដោយមិនចាំបាច់មានការផ្ទៀងផ្ទាត់។  

ជាដំបូង ចូរយើងដោះស្រាយជាមួយនឹងការបោះពុម្ពផ្សាយតាមអ៊ីនធឺណិត។ ហេតុអ្វីបានជារឿងនេះកើតឡើង? ការពិតគឺថាសម្រាប់ប្រតិបត្តិការកាន់តែបត់បែនរបស់ Elasticsearch បានណែនាំ បង្កើតចង្កោមនៃម៉ាស៊ីនមេចំនួនបី។ ដើម្បីឱ្យមូលដ្ឋានទិន្នន័យទាក់ទងគ្នាទៅវិញទៅមក អ្នកត្រូវបើកច្រក។ ជាលទ្ធផល អ្នកគ្រប់គ្រងមិនដាក់កម្រិតការចូលប្រើមូលដ្ឋានទិន្នន័យតាមមធ្យោបាយណាមួយឡើយ ហើយអ្នកអាចភ្ជាប់ទៅមូលដ្ឋានទិន្នន័យពីគ្រប់ទីកន្លែង។ វាងាយស្រួលក្នុងការពិនិត្យមើលថាតើមូលដ្ឋានទិន្នន័យអាចចូលប្រើបានពីខាងក្រៅដែរឬទេ។ គ្រាន់តែបញ្ចូលក្នុងកម្មវិធីរុករក http://[IP/Имя Elasticsearch]:9200/_cat/nodes?v

បើអាចចូលបាន រត់ទៅបិទ។

ការការពារការតភ្ជាប់ទៅមូលដ្ឋានទិន្នន័យ

ឥឡូវ​នេះ យើង​នឹង​បង្កើត​វា ដើម្បី​កុំ​ឱ្យ​វា​អាច​តភ្ជាប់​ទៅ​មូលដ្ឋាន​ទិន្នន័យ​ដោយ​គ្មាន​ការ​ផ្ទៀងផ្ទាត់។

Elasticsearch មានម៉ូឌុលផ្ទៀងផ្ទាត់ដែលកំណត់ការចូលប្រើមូលដ្ឋានទិន្នន័យ ប៉ុន្តែវាអាចប្រើបានតែនៅក្នុងសំណុំកម្មវិធីជំនួយ X-Pack ដែលបង់ប្រាក់ (ការប្រើប្រាស់ 1 ខែដោយឥតគិតថ្លៃ)។

ដំណឹងល្អគឺថានៅរដូវស្លឹកឈើជ្រុះឆ្នាំ 2019 ក្រុមហ៊ុន Amazon បានបើកដំណើរការអភិវឌ្ឍន៍របស់ខ្លួន ដែលត្រួតលើគ្នាជាមួយ X-Pack ។ មុខងារ​ផ្ទៀងផ្ទាត់​ភាព​ត្រឹមត្រូវ​នៅពេល​ភ្ជាប់​ទៅ​មូលដ្ឋាន​ទិន្នន័យ​បាន​ក្លាយ​ជា​មាន​ក្រោម​អាជ្ញាបណ្ណ​ឥតគិតថ្លៃ​សម្រាប់​កំណែ Elasticsearch 7.3.2 ហើយ​ការ​ចេញ​ផ្សាយ​ថ្មី​សម្រាប់ Elasticsearch 7.4.0 មាន​ដំណើរការ​ហើយ។

កម្មវិធីជំនួយនេះងាយស្រួលដំឡើង។ ចូលទៅកាន់កុងសូលម៉ាស៊ីនមេ ហើយភ្ជាប់ឃ្លាំង៖

RPM ផ្អែកលើ៖

curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo

yum update

yum install opendistro-security

ផ្អែកលើ DEB៖

wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -

ការដំឡើងអន្តរកម្មរវាងម៉ាស៊ីនមេតាមរយៈ SSL

នៅពេលដំឡើងកម្មវិធីជំនួយ ការកំណត់រចនាសម្ព័ន្ធច្រកតភ្ជាប់ទៅមូលដ្ឋានទិន្នន័យផ្លាស់ប្តូរ។ វាបើកការអ៊ិនគ្រីប SSL ។ ដើម្បីឱ្យម៉ាស៊ីនមេចង្កោមបន្តធ្វើការជាមួយគ្នា អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធអន្តរកម្មរវាងពួកវាដោយប្រើ SSL ។

ការជឿទុកចិត្តរវាងម៉ាស៊ីនអាចត្រូវបានបង្កើតឡើងដោយមាន ឬគ្មានសិទ្ធិអំណាចវិញ្ញាបនបត្ររបស់ខ្លួន។ ជាមួយនឹងវិធីសាស្រ្តដំបូង អ្វីគ្រប់យ៉ាងគឺច្បាស់: អ្នកគ្រាន់តែត្រូវការទាក់ទងអ្នកឯកទេស CA ។ ចូរផ្លាស់ទីត្រង់ទៅទីពីរ។

1. បង្កើតអថេរជាមួយឈ្មោះដែនពេញ៖

   export DOMAIN_CN="example.com"

2. បង្កើតសោឯកជន៖

   openssl genrsa -out root-ca-key.pem 4096

3. ចុះហត្ថលេខាលើវិញ្ញាបនបត្រ root ។ រក្សាវាឱ្យមានសុវត្ថិភាព៖ ប្រសិនបើវាត្រូវបានបាត់បង់ ឬមានការសម្របសម្រួល ការជឿទុកចិត្តរវាងម៉ាស៊ីនទាំងអស់នឹងត្រូវកំណត់រចនាសម្ព័ន្ធឡើងវិញ។

   openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" 
   -key root-ca-key.pem -out root-ca.pem

4. បង្កើតសោអ្នកគ្រប់គ្រង៖

   openssl genrsa -out admin-key-temp.pem 4096
   openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt 
   -v1 PBE-SHA1-3DES -out admin-key.pem

5. បង្កើតសំណើដើម្បីចុះហត្ថលេខាលើវិញ្ញាបនបត្រ៖

   openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " 
   -key admin-key.pem -out admin.csr

6. បង្កើតវិញ្ញាបនបត្រអ្នកគ្រប់គ្រង៖

   openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem 
   -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem

7. បង្កើតវិញ្ញាបនបត្រសម្រាប់ថ្នាំង Elasticsearch៖

   export NODENAME="node-01"
   openssl genrsa -out ${NODENAME}-key-temp.pem 4096
   openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt 
   -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem

8. បង្កើតសំណើហត្ថលេខា៖

   openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}"  
   -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" 
   -key ${NODENAME}-key.pem -out ${NODENAME}.csr

9. ការចុះហត្ថលេខាលើវិញ្ញាបនបត្រ៖

   openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial 
   -sha256 -out node.pem

10. ដាក់វិញ្ញាបនបត្ររវាងថ្នាំង Elasticsearch ក្នុងថតខាងក្រោម៖

    /etc/elasticsearch/

    
    យើងត្រូវការឯកសារ៖

            node-01-key.pem
    	node-01.pem
    	admin-key.pem
    	admin.pem
    	root-ca.pem

11. កំណត់រចនាសម្ព័ន្ធ /etc/elasticsearch/elasticsearch.yml - ប្តូរឈ្មោះឯកសារដែលមានវិញ្ញាបនបត្រទៅជាឯកសារដែលបង្កើតដោយពួកយើង៖

    opendistro_security.ssl.transport.pemcert_filepath: node-01.pem                                                                                                                                                                                    
    	opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem                                                                                                                                                                                 
    	opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem                                                                                                                                                                              
    	opendistro_security.ssl.transport.enforce_hostname_verification: false                                                                                                                                                                             
    	opendistro_security.ssl.http.enabled: true                                                                                                                                                                                                         
    	opendistro_security.ssl.http.pemcert_filepath: node-01.pem                                                                                                                                                                                         
    	opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem                                                                                                                                                                                      
    	opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem                                                                                                                                                                                   
    	opendistro_security.allow_unsafe_democertificates: false                                                                                                                                                                                           
    	opendistro_security.allow_default_init_securityindex: true                                                                                                                                                                                         
    	opendistro_security.authcz.admin_dn:                                                                                                                                                                                                               
    	  − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU                                                                                                                                                                                                  
    	opendistro_security.nodes_dn:                                                                                                                                                                                                                      
    	  − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU

ការផ្លាស់ប្តូរពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ខាងក្នុង

1. ដោយប្រើពាក្យបញ្ជាខាងក្រោម យើងបញ្ចេញលេខកូដសម្ងាត់ទៅកាន់កុងសូល៖

   sh ${OD_SEC}/tools/hash.sh -p [пароль]

2. ផ្លាស់ប្តូរ hash នៅក្នុងឯកសារទៅជាលេខដែលទទួលបាន៖

   /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml

ការដំឡើងជញ្ជាំងភ្លើងនៅក្នុង OS

1. អនុញ្ញាតឱ្យជញ្ជាំងភ្លើងចាប់ផ្តើម៖

   systemctl enable firewalld

2. តោះចាប់ផ្តើមវា៖

   systemctl start firewalld

3. អនុញ្ញាតឱ្យភ្ជាប់ទៅ Elasticsearch៖

   firewall-cmd --set-default-zone work
   firewall-cmd --zone=work --add-port=9200/TCP --permanent

4. ផ្ទុកច្បាប់ជញ្ជាំងភ្លើងឡើងវិញ៖

   firewall-cmd --reload

5. នេះគឺជាច្បាប់ការងារ៖

   firewall-cmd --list-all

អនុវត្តការផ្លាស់ប្តូរទាំងអស់របស់យើងចំពោះ Elasticsearch

1. បង្កើតអថេរជាមួយផ្លូវពេញទៅកាន់ថតជាមួយកម្មវិធីជំនួយ៖

   export  OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"

2. តោះដំណើរការស្គ្រីបដែលនឹងធ្វើបច្ចុប្បន្នភាពពាក្យសម្ងាត់ និងពិនិត្យមើលការកំណត់៖

   ${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ 
   -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem 
   -cert /etc/elasticsearch/admin.pem  
   -key /etc/elasticsearch/admin-key.pem

3. ពិនិត្យមើលថាតើការផ្លាស់ប្តូរត្រូវបានអនុវត្តដែរឬទេ៖

   curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure

នោះហើយជាទាំងអស់ ទាំងនេះគឺជាការកំណត់អប្បបរមាដែលការពារ Elasticsearch ពីការភ្ជាប់ដោយគ្មានការអនុញ្ញាត។

ប្រភព: www.habr.com