🥇누출을 방지하기 위해 Elasticsearch를 구성하는 방법

지난 한 해 동안 데이터베이스에서 많은 유출이 발생했습니다. 탄성 검색 (여기에, 여기에 и 여기에). 많은 경우 개인 데이터가 데이터베이스에 저장되었습니다. 데이터베이스를 배포한 후 관리자가 몇 가지 간단한 설정을 확인했다면 이러한 유출은 피할 수 있었습니다. 오늘 우리는 그들에 대해 이야기하겠습니다.

우리는 실제로 152-FZ, Cloud-152의 요구 사항을 준수하는 IaaS 플랫폼에서 정보 보안 도구, OS 및 소프트웨어의 로그를 저장하고 분석하기 위해 Elasticsearch를 사용한다고 즉시 예약하겠습니다.

데이터베이스가 인터넷에 "붙어 있는지" 확인합니다.

가장 잘 알려진 누출 사례(여기에, 여기에) 공격자는 간단하고 소박하게 데이터에 대한 액세스 권한을 얻었습니다. 데이터베이스는 인터넷에 게시되었으며 인증 없이 연결할 수 있었습니다.

먼저 인터넷 출판을 다루겠습니다. 왜 이런 일이 발생합니까? 사실 Elasticsearch의 보다 유연한 운영을 위해서는 추천 세 개의 서버로 구성된 클러스터를 만듭니다. 데이터베이스가 서로 통신하려면 포트를 열어야 합니다. 결과적으로 관리자는 어떤 방식으로든 데이터베이스에 대한 액세스를 제한하지 않으며 사용자는 어디에서나 데이터베이스에 연결할 수 있습니다. 외부에서 데이터베이스에 접근이 가능한지 쉽게 확인할 수 있습니다. 브라우저에 입력하시면 됩니다 http://[IP/Имя Elasticsearch]:9200/_cat/nodes?v

들어갈 수 있으면 달려가 문을 닫으세요.

데이터베이스에 대한 연결 보호

이제 인증 없이는 데이터베이스에 접속이 불가능하도록 만들어 보겠습니다.

Elasticsearch에는 데이터베이스에 대한 액세스를 제한하는 인증 모듈이 있지만 유료 X-Pack 플러그인 세트에서만 사용할 수 있습니다(1개월 무료 사용).

좋은 소식은 2019년 가을에 Amazon이 X-Pack과 겹치는 개발을 시작했다는 것입니다. 데이터베이스에 연결할 때 인증 기능은 Elasticsearch 7.3.2 버전의 무료 라이선스로 제공되었으며 Elasticsearch 7.4.0의 새 릴리스는 이미 작업 중입니다.

이 플러그인은 설치가 쉽습니다. 서버 콘솔로 이동하여 저장소를 연결합니다.

RPM 기반:

curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo yum update yum install opendistro-security

DEB 기반:

wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -

SSL을 통해 서버 간 상호 작용 설정

플러그인을 설치하면 데이터베이스에 연결되는 포트의 구성이 변경됩니다. SSL 암호화를 활성화합니다. 클러스터 서버가 계속해서 서로 작동하려면 SSL을 사용하여 서버 간의 상호 작용을 구성해야 합니다.

호스트 간 신뢰는 자체 인증 기관 유무에 관계없이 설정될 수 있습니다. 첫 번째 방법을 사용하면 모든 것이 명확해집니다. CA 전문가에게 문의하기만 하면 됩니다. 바로 두 번째로 넘어가겠습니다.

전체 도메인 이름으로 변수를 만듭니다.

export DOMAIN_CN="example.com"

개인 키를 생성합니다:

openssl genrsa -out root-ca-key.pem 4096

루트 인증서에 서명합니다. 안전하게 보관하세요. 분실되거나 손상된 경우 모든 호스트 간의 신뢰를 재구성해야 합니다.

openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem

관리자 키를 생성합니다:

openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

인증서 서명 요청을 생성합니다.

openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr

관리자 인증서를 생성합니다:

openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem

Elasticsearch 노드에 대한 인증서를 만듭니다.

export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem

서명 요청을 작성하십시오.

openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr

인증서 서명:

openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem

다음 폴더의 Elasticsearch 노드 사이에 인증서를 배치합니다.

/etc/elasticsearch/

파일이 필요합니다:

node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem

구성 /etc/elasticsearch/elasticsearch.yml – 인증서가 포함된 파일 이름을 당사가 생성한 파일 이름으로 변경합니다.

opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU

내부 사용자의 비밀번호 변경

아래 명령을 사용하여 비밀번호 해시를 콘솔에 출력합니다.

sh ${OD_SEC}/tools/hash.sh -p [пароль]

파일의 해시를 수신된 해시로 변경합니다.

/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml

OS에서 방화벽 설정

방화벽이 시작되도록 허용합니다.

systemctl enable firewalld
실행해 봅시다:

systemctl start firewalld

Elasticsearch에 대한 연결을 허용합니다.

firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent

방화벽 규칙을 다시 로드합니다.

firewall-cmd --reload
작업 규칙은 다음과 같습니다.

firewall-cmd --list-all

Elasticsearch에 모든 변경 사항 적용

플러그인이 있는 폴더의 전체 경로가 포함된 변수를 만듭니다.

export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"

비밀번호를 업데이트하고 설정을 확인하는 스크립트를 실행해 보겠습니다.

${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem

변경 사항이 적용되었는지 확인하세요.

curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure

그게 전부입니다. 이것은 무단 연결로부터 Elasticsearch를 보호하는 최소 설정입니다.

출처 : habr.com

누출을 방지하기 위해 Elasticsearch를 구성하는 방법