ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಸ್ಟಾಕ್ SIEM ಸಿಸ್ಟಮ್ಸ್ ಮಾರುಕಟ್ಟೆಯಲ್ಲಿ ಒಂದು ಪ್ರಸಿದ್ಧ ಸಾಧನವಾಗಿದೆ (ವಾಸ್ತವವಾಗಿ, ಅವುಗಳು ಮಾತ್ರವಲ್ಲ). ಇದು ಸೂಕ್ಷ್ಮ ಮತ್ತು ಹೆಚ್ಚು ಸೂಕ್ಷ್ಮವಲ್ಲದ ವಿಭಿನ್ನ ಗಾತ್ರದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಬಹುದು. ಸ್ಥಿತಿಸ್ಥಾಪಕ ಸ್ಟಾಕ್ ಅಂಶಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಸ್ವತಃ ರಕ್ಷಿಸದಿದ್ದರೆ ಅದು ಸಂಪೂರ್ಣವಾಗಿ ಸರಿಯಾಗಿಲ್ಲ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಎಲ್ಲಾ ಎಲಾಸ್ಟಿಕ್ ಔಟ್-ಆಫ್-ದಿ-ಬಾಕ್ಸ್ ಅಂಶಗಳು (ಎಲಾಸ್ಟಿಕ್ ಸರ್ಚ್, ಲಾಗ್‌ಸ್ಟ್ಯಾಶ್, ಕಿಬಾನಾ ಮತ್ತು ಬೀಟ್ಸ್ ಕಲೆಕ್ಟರ್‌ಗಳು) ತೆರೆದ ಪ್ರೋಟೋಕಾಲ್‌ಗಳಲ್ಲಿ ರನ್ ಆಗುತ್ತವೆ. ಮತ್ತು ಕಿಬಾನಾದಲ್ಲಿಯೇ, ದೃಢೀಕರಣವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. ಈ ಎಲ್ಲಾ ಸಂವಹನಗಳನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಬಹುದು ಮತ್ತು ಇದನ್ನು ಹೇಗೆ ಮಾಡಬೇಕೆಂದು ಈ ಲೇಖನದಲ್ಲಿ ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ. ಅನುಕೂಲಕ್ಕಾಗಿ, ನಾವು ನಿರೂಪಣೆಯನ್ನು 3 ಶಬ್ದಾರ್ಥದ ಬ್ಲಾಕ್ಗಳಾಗಿ ವಿಂಗಡಿಸಿದ್ದೇವೆ:

  • ಪಾತ್ರ ಆಧಾರಿತ ಡೇಟಾ ಪ್ರವೇಶ ಮಾದರಿ
  • ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಕ್ಲಸ್ಟರ್‌ನೊಳಗೆ ಡೇಟಾ ಭದ್ರತೆ
  • Elasticsearch ಕ್ಲಸ್ಟರ್‌ನ ಹೊರಗೆ ಡೇಟಾವನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸುವುದು

ಕಟ್ ಅಡಿಯಲ್ಲಿ ವಿವರಗಳು.

ಪಾತ್ರ ಆಧಾರಿತ ಡೇಟಾ ಪ್ರವೇಶ ಮಾದರಿ

ನೀವು Elasticsearch ಅನ್ನು ಸ್ಥಾಪಿಸಿದರೆ ಮತ್ತು ಅದನ್ನು ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ಟ್ಯೂನ್ ಮಾಡದಿದ್ದರೆ, ಎಲ್ಲಾ ಸೂಚಿಕೆಗಳಿಗೆ ಪ್ರವೇಶವು ಎಲ್ಲರಿಗೂ ತೆರೆದಿರುತ್ತದೆ. ಸರಿ, ಅಥವಾ ಕರ್ಲ್ ಅನ್ನು ಬಳಸಬಹುದಾದವರು. ಇದನ್ನು ತಪ್ಪಿಸಲು, Elasticsearch ಒಂದು ರೋಲ್ ಮಾಡೆಲ್ ಅನ್ನು ಹೊಂದಿದ್ದು ಅದು ಮೂಲ ಚಂದಾದಾರಿಕೆಯಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಮೂಲಕ ಲಭ್ಯವಿದೆ (ಇದು ಉಚಿತವಾಗಿದೆ). ಕ್ರಮಬದ್ಧವಾಗಿ ಇದು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

ಚಿತ್ರದಲ್ಲಿ ಏನಿದೆ

  • ಬಳಕೆದಾರರು ತಮ್ಮ ರುಜುವಾತುಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಲಾಗ್ ಇನ್ ಮಾಡಬಹುದಾದ ಎಲ್ಲರೂ.
  • ಪಾತ್ರವು ಹಕ್ಕುಗಳ ಗುಂಪಾಗಿದೆ.
  • ಹಕ್ಕುಗಳು ಸವಲತ್ತುಗಳ ಗುಂಪಾಗಿದೆ.
  • ಸವಲತ್ತುಗಳು ಬರೆಯಲು, ಓದಲು, ಅಳಿಸಲು, ಇತ್ಯಾದಿಗಳಿಗೆ ಅನುಮತಿಗಳಾಗಿವೆ. (ಸವಲತ್ತುಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ)
  • ಸಂಪನ್ಮೂಲಗಳು ಸೂಚ್ಯಂಕಗಳು, ದಾಖಲೆಗಳು, ಕ್ಷೇತ್ರಗಳು, ಬಳಕೆದಾರರು ಮತ್ತು ಇತರ ಶೇಖರಣಾ ಘಟಕಗಳಾಗಿವೆ (ಕೆಲವು ಸಂಪನ್ಮೂಲಗಳಿಗೆ ರೋಲ್ ಮಾಡೆಲ್ ಪಾವತಿಸಿದ ಚಂದಾದಾರಿಕೆಗಳೊಂದಿಗೆ ಮಾತ್ರ ಲಭ್ಯವಿದೆ).

ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ Elasticsearch ಹೊಂದಿದೆ ಬಾಕ್ಸ್ ಬಳಕೆದಾರರು, ಅವರು ಲಗತ್ತಿಸಲಾಗಿದೆ ಬಾಕ್ಸ್ ಪಾತ್ರಗಳು. ಒಮ್ಮೆ ನೀವು ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದರೆ, ನೀವು ತಕ್ಷಣ ಅವುಗಳನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸಬಹುದು.

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ ಭದ್ರತೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು, ನೀವು ಅದನ್ನು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ಗೆ ಸೇರಿಸುವ ಅಗತ್ಯವಿದೆ (ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಇದು elasticsearch/config/elasticsearch.yml) ಹೊಸ ಗೆರೆ:

xpack.security.enabled: true

ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸಿದ ನಂತರ, ಬದಲಾವಣೆಗಳು ಕಾರ್ಯರೂಪಕ್ಕೆ ಬರಲು Elasticsearch ಅನ್ನು ಪ್ರಾರಂಭಿಸಿ ಅಥವಾ ಮರುಪ್ರಾರಂಭಿಸಿ. ಬಾಕ್ಸ್ ಬಳಕೆದಾರರಿಗೆ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ನಿಯೋಜಿಸುವುದು ಮುಂದಿನ ಹಂತವಾಗಿದೆ. ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಂವಾದಾತ್ಮಕವಾಗಿ ಇದನ್ನು ಮಾಡೋಣ:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

ನಾವು ಪರಿಶೀಲಿಸುತ್ತೇವೆ:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

ನೀವು ನಿಮ್ಮ ಬೆನ್ನನ್ನು ತಟ್ಟಿಕೊಳ್ಳಬಹುದು - ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟದ ಬದಿಯಲ್ಲಿರುವ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಪೂರ್ಣಗೊಂಡಿವೆ. ಈಗ ಕಿಬಾನಾವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಸಮಯ. ನೀವು ಈಗ ಅದನ್ನು ಚಲಾಯಿಸಿದರೆ, ದೋಷಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ, ಆದ್ದರಿಂದ ಕೀ ಸ್ಟೋರ್ ಅನ್ನು ರಚಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ. ಇದನ್ನು ಎರಡು ಆಜ್ಞೆಗಳಲ್ಲಿ ಮಾಡಲಾಗುತ್ತದೆ (ಬಳಕೆದಾರ ಕಿಬಾನಾ ಮತ್ತು ಎಲಾಸ್ಟಿಕ್ ಸರ್ಚ್‌ನಲ್ಲಿ ಪಾಸ್‌ವರ್ಡ್ ರಚನೆಯ ಹಂತದಲ್ಲಿ ನಮೂದಿಸಲಾದ ಪಾಸ್‌ವರ್ಡ್:

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

ಎಲ್ಲವೂ ಸರಿಯಾಗಿದ್ದರೆ, ಕಿಬಾನಾ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ಕೇಳಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. ಮೂಲ ಚಂದಾದಾರಿಕೆಯು ಆಂತರಿಕ ಬಳಕೆದಾರರನ್ನು ಆಧರಿಸಿ ರೋಲ್ ಮಾಡೆಲ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಚಿನ್ನದಿಂದ ಪ್ರಾರಂಭಿಸಿ, ನೀವು ಬಾಹ್ಯ ದೃಢೀಕರಣ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು - LDAP, PKI, ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಮತ್ತು ಏಕ ಸೈನ್-ಆನ್ ವ್ಯವಸ್ಥೆಗಳು.

ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟದಲ್ಲಿನ ವಸ್ತುಗಳಿಗೆ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ಸಹ ಸೀಮಿತಗೊಳಿಸಬಹುದು. ಆದಾಗ್ಯೂ, ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳು ಅಥವಾ ಕ್ಷೇತ್ರಗಳಿಗೆ ಅದೇ ರೀತಿ ಮಾಡಲು, ನಿಮಗೆ ಪಾವತಿಸಿದ ಚಂದಾದಾರಿಕೆ ಅಗತ್ಯವಿರುತ್ತದೆ (ಈ ಐಷಾರಾಮಿ ಪ್ಲಾಟಿನಂ ಮಟ್ಟದಿಂದ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ). ಈ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಕಿಬಾನಾ ಇಂಟರ್‌ಫೇಸ್‌ನಲ್ಲಿ ಅಥವಾ ಮೂಲಕ ಲಭ್ಯವಿದೆ ಭದ್ರತಾ API. ನೀವು ಈಗಾಗಲೇ ಪರಿಚಿತವಾಗಿರುವ ದೇವ್ ಪರಿಕರಗಳ ಮೆನು ಮೂಲಕ ಪರಿಶೀಲಿಸಬಹುದು:

ಪಾತ್ರವನ್ನು ರಚಿಸುವುದು

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

ಬಳಕೆದಾರರನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಕ್ಲಸ್ಟರ್‌ನೊಳಗೆ ಡೇಟಾ ಭದ್ರತೆ

ಎಲಾಸ್ಟಿಕ್‌ಸರ್ಚ್ ಕ್ಲಸ್ಟರ್‌ನಲ್ಲಿ ಚಲಿಸಿದಾಗ (ಇದು ಸಾಮಾನ್ಯ), ಕ್ಲಸ್ಟರ್‌ನೊಳಗಿನ ಭದ್ರತಾ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಮುಖ್ಯವಾಗುತ್ತವೆ. ನೋಡ್‌ಗಳ ನಡುವೆ ಸುರಕ್ಷಿತ ಸಂವಹನಕ್ಕಾಗಿ, ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ TLS ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ಅವುಗಳ ನಡುವೆ ಸುರಕ್ಷಿತ ಸಂವಹನವನ್ನು ಹೊಂದಿಸಲು, ನಿಮಗೆ ಪ್ರಮಾಣಪತ್ರದ ಅಗತ್ಯವಿದೆ. ನಾವು PEM ಸ್ವರೂಪದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ರಚಿಸುತ್ತೇವೆ:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

ಮೇಲಿನ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರ, ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ /../elasticsearch ಆರ್ಕೈವ್ ಕಾಣಿಸುತ್ತದೆ ಸ್ಥಿತಿಸ್ಥಾಪಕ-ಸ್ಟಾಕ್-ca.zip. ಅದರ ಒಳಗೆ ನೀವು ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ವಿಸ್ತರಣೆಗಳೊಂದಿಗೆ ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಕಾಣಬಹುದು crt и ಪ್ರಮುಖ ಕ್ರಮವಾಗಿ. ಕ್ಲಸ್ಟರ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ನೋಡ್‌ಗಳಿಂದ ಪ್ರವೇಶಿಸಬಹುದಾದ ಹಂಚಿಕೆಯ ಸಂಪನ್ಮೂಲದಲ್ಲಿ ಅವುಗಳನ್ನು ಹಾಕಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ.

ಪ್ರತಿ ನೋಡ್‌ಗೆ ಈಗ ತನ್ನದೇ ಆದ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಖಾಸಗಿ ಕೀಗಳ ಅಗತ್ಯವಿದೆ. ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ, ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಲು ನಿಮ್ಮನ್ನು ಕೇಳಲಾಗುತ್ತದೆ. ಸಂವಾದಾತ್ಮಕ ನೋಡ್‌ಗಳ ಸಂಪೂರ್ಣ ಪರಿಶೀಲನೆಗಾಗಿ ನೀವು ಹೆಚ್ಚುವರಿ ಆಯ್ಕೆಗಳನ್ನು -ip ಮತ್ತು -dns ಅನ್ನು ಸೇರಿಸಬಹುದು.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಪರಿಣಾಮವಾಗಿ, ನಾವು PKCS#12 ಸ್ವರೂಪದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಸ್ವೀಕರಿಸುತ್ತೇವೆ, ಪಾಸ್ವರ್ಡ್ನಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ. ರಚಿಸಲಾದ ಫೈಲ್ ಅನ್ನು ಸರಿಸಲು ಮಾತ್ರ ಉಳಿದಿದೆ p12 ಕಾನ್ಫಿಗರೇಶನ್ ಡೈರೆಕ್ಟರಿಗೆ:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

ಸ್ವರೂಪದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಕ್ಕೆ ಪಾಸ್ವರ್ಡ್ ಸೇರಿಸಿ p12 ಪ್ರತಿ ನೋಡ್‌ನಲ್ಲಿ ಕೀಸ್ಟೋರ್ ಮತ್ತು ಟ್ರಸ್ಟ್‌ಸ್ಟೋರ್‌ನಲ್ಲಿ:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

ಈಗಾಗಲೇ ತಿಳಿದಿದೆ elasticsearch.yml ಪ್ರಮಾಣಪತ್ರ ಡೇಟಾದೊಂದಿಗೆ ಸಾಲುಗಳನ್ನು ಸೇರಿಸುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

ನಾವು ಎಲ್ಲಾ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ನೋಡ್‌ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತೇವೆ ಕರ್ಲ್. ಎಲ್ಲವನ್ನೂ ಸರಿಯಾಗಿ ಮಾಡಿದ್ದರೆ, ಹಲವಾರು ನೋಡ್ಗಳೊಂದಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಹಿಂತಿರುಗಿಸಲಾಗುತ್ತದೆ:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

ಮತ್ತೊಂದು ಭದ್ರತಾ ಆಯ್ಕೆ ಇದೆ - IP ವಿಳಾಸ ಫಿಲ್ಟರಿಂಗ್ (ಗೋಲ್ಡ್ ಮಟ್ಟದಿಂದ ಚಂದಾದಾರಿಕೆಗಳಲ್ಲಿ ಲಭ್ಯವಿದೆ). ನೋಡ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸಲಾದ IP ವಿಳಾಸಗಳ ಬಿಳಿ ಪಟ್ಟಿಗಳನ್ನು ರಚಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

Elasticsearch ಕ್ಲಸ್ಟರ್‌ನ ಹೊರಗೆ ಡೇಟಾವನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸುವುದು

ಕ್ಲಸ್ಟರ್‌ನ ಹೊರಗೆ ಎಂದರೆ ಬಾಹ್ಯ ಪರಿಕರಗಳನ್ನು ಸಂಪರ್ಕಿಸುವುದು: ಕಿಬಾನಾ, ಲಾಗ್‌ಸ್ಟಾಶ್, ಬೀಟ್ಸ್ ಅಥವಾ ಇತರ ಬಾಹ್ಯ ಕ್ಲೈಂಟ್‌ಗಳು.

ಲಾಕ್ ಮತ್ತು ಕೀ ಅಡಿಯಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ: ಒಳಗೆ ಮತ್ತು ಹೊರಗಿನಿಂದ ಪ್ರವೇಶಕ್ಕಾಗಿ Elasticsearch ಕ್ಲಸ್ಟರ್ ಭದ್ರತಾ ಆಯ್ಕೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು

https ಗೆ ಬೆಂಬಲವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು (http ಬದಲಿಗೆ), elasticsearch.yml ಗೆ ಹೊಸ ಸಾಲುಗಳನ್ನು ಸೇರಿಸಿ:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

ಏಕೆಂದರೆ ಪ್ರಮಾಣಪತ್ರವು ಪಾಸ್‌ವರ್ಡ್ ರಕ್ಷಿತವಾಗಿದೆ, ಅದನ್ನು ಪ್ರತಿ ನೋಡ್‌ನಲ್ಲಿರುವ ಕೀಸ್ಟೋರ್ ಮತ್ತು ಟ್ರಸ್ಟ್‌ಸ್ಟೋರ್‌ಗೆ ಸೇರಿಸಿ:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

ಕೀಗಳನ್ನು ಸೇರಿಸಿದ ನಂತರ, Elasticsearch ನೋಡ್‌ಗಳು https ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಸಿದ್ಧವಾಗಿವೆ. ಈಗ ಅವುಗಳನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು.

ಕಿಬಾನಾವನ್ನು ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಅದನ್ನು ಕಾನ್ಫಿಗರೇಶನ್‌ಗೆ ಸೇರಿಸಲು ಕೀಲಿಯನ್ನು ರಚಿಸುವುದು ಮುಂದಿನ ಹಂತವಾಗಿದೆ. ಹಂಚಿದ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಈಗಾಗಲೇ ಇರುವ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಧರಿಸಿ, ನಾವು PEM ಸ್ವರೂಪದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸುತ್ತೇವೆ (PKCS#12 Kibana, Logstash ಮತ್ತು Beats ಇನ್ನೂ ಬೆಂಬಲಿಸುವುದಿಲ್ಲ):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

ಕಿಬಾನಾ ಕಾನ್ಫಿಗರೇಶನ್‌ನೊಂದಿಗೆ ಫೋಲ್ಡರ್‌ಗೆ ರಚಿಸಿದ ಕೀಗಳನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

ಕೀಗಳು ಇವೆ, ಆದ್ದರಿಂದ ಕಿಬಾನಾ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ ಇದರಿಂದ ಅದು ಅವುಗಳನ್ನು ಬಳಸಲು ಪ್ರಾರಂಭಿಸುತ್ತದೆ. kibana.yml ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ನಲ್ಲಿ, http ಅನ್ನು https ಗೆ ಬದಲಾಯಿಸಿ ಮತ್ತು SSL ಸಂಪರ್ಕ ಸೆಟ್ಟಿಂಗ್‌ಗಳೊಂದಿಗೆ ಸಾಲುಗಳನ್ನು ಸೇರಿಸಿ. ಕೊನೆಯ ಮೂರು ಸಾಲುಗಳು ಬಳಕೆದಾರರ ಬ್ರೌಸರ್ ಮತ್ತು ಕಿಬಾನಾ ನಡುವೆ ಸುರಕ್ಷಿತ ಸಂವಹನವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತವೆ.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

ಹೀಗಾಗಿ, ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಪೂರ್ಣಗೊಂಡಿವೆ ಮತ್ತು ಎಲಾಸ್ಟಿಕ್‌ಸರ್ಚ್ ಕ್ಲಸ್ಟರ್‌ನಲ್ಲಿನ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ.

ಉಚಿತ ಅಥವಾ ಪಾವತಿಸಿದ ಚಂದಾದಾರಿಕೆಗಳಲ್ಲಿ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಸ್ಟಾಕ್‌ನ ಸಾಮರ್ಥ್ಯಗಳ ಬಗ್ಗೆ ನೀವು ಪ್ರಶ್ನೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಕಾರ್ಯಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು ಅಥವಾ SIEM ವ್ಯವಸ್ಥೆಯನ್ನು ರಚಿಸುವುದು, ಇದಕ್ಕೆ ವಿನಂತಿಯನ್ನು ಬಿಡಿ ಪ್ರತಿಕ್ರಿಯೆ ರೂಪ ನಮ್ಮ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ.

ಹ್ಯಾಬ್ರೆಯಲ್ಲಿ ಎಲಾಸ್ಟಿಕ್ ಸ್ಟಾಕ್ ಕುರಿತು ನಮ್ಮ ಹೆಚ್ಚಿನ ಲೇಖನಗಳು:

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಸ್ಟಾಕ್‌ನಲ್ಲಿ ಯಂತ್ರ ಕಲಿಕೆಯನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು (ಅಕಾ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ, ಅಕಾ ELK)

ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟ ಗಾತ್ರ

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ