Tamin'ny taon-dasa, dia nisy ny fivoahana marobe avy amin'ny angon-drakitra
Andao hanao famandrihana avy hatrany fa amin'ny fomba fanaonay dia mampiasa Elasticsearch izahay hitahiry logs sy hamakafaka ny diarin'ny fitaovana fiarovana ny fampahalalana, OS ary rindrambaiko ao amin'ny sehatra IaaS, izay mifanaraka amin'ny fepetra takian'ny 152-FZ, Cloud-152.
Hamarininay raha "mifikitra" amin'ny Internet ny tahiry
Amin'ny ankamaroan'ny tranga fantatra amin'ny fivoahana (
Voalohany, andeha isika hiresaka momba ny famoahana amin'ny Internet. Nahoana no mitranga izany? Ny zava-misy dia ny fampandehanana mora kokoa amin'ny Elasticsearch
Raha afaka miditra ianao dia mihazakazaka hanakatona azy.
Miaro ny fifandraisana amin'ny tahiry
Ankehitriny dia hanao izany izahay mba tsy ho azo atao ny mifandray amin'ny angon-drakitra tsy misy fanamarinana.
Elasticsearch dia manana mΓ΄dely fanamarinana izay mametra ny fidirana amin'ny angon-drakitra, saingy tsy misy afa-tsy ao amin'ny plugin X-Pack karamaina (fampiasana maimaim-poana 1 volana).
Ny vaovao tsara dia tamin'ny fararano 2019, nanokatra ny fivoarany i Amazon, izay mifanindry amin'ny X-Pack. Ny asa fanamarinana rehefa mifandray amin'ny angon-drakitra dia nanjary azo alaina amin'ny alΓ lan'ny fahazoan-dΓ lana maimaim-poana ho an'ny dikan-teny Elasticsearch 7.3.2, ary efa eo am-piasana ny famoahana vaovao ho an'ny Elasticsearch 7.4.0.
Ity plugin ity dia mora apetraka. Mandehana any amin'ny console server ary ampifandraiso ny tahiry:
RPM mifototra:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
DEB mifototra:
wget -qO β https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
Mametraka fifandraisana eo amin'ny mpizara amin'ny alΓ lan'ny SSL
Rehefa mametraka ny plugin dia miova ny fanovana ny seranan-tsambo mifandray amin'ny angon-drakitra. Izany dia mamela ny SSL encryption. Mba hahafahan'ireo mpizara cluster hanohy hiara-miasa amin'ny tsirairay, dia mila manamboatra fifandraisana eo amin'izy ireo ianao amin'ny fampiasana SSL.
Ny fifampitokisana eo amin'ny mpampiantrano dia azo apetraka miaraka amin'ny fahefana fanamarinana azy manokana na tsy misy. Miaraka amin'ny fomba voalohany dia mazava ny zava-drehetra: mila mifandray amin'ny manam-pahaizana momba ny CA ianao. Andao hiroso mivantana amin'ny faharoa.
- Mamorona fari-piainana miaraka amin'ny anaran-tsehatra feno:
export DOMAIN_CN="example.com"
- Mamorona fanalahidy manokana:
openssl genrsa -out root-ca-key.pem 4096
- Sonia ny taratasy fanamarinana fototra. Tazony ho azo antoka: raha very izy io na voatohintohina, dia mila amboarina ny fifampitokisana eo amin'ny mpampiantrano rehetra.
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem
- Mamorona fanalahidin'ny mpitantana:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
- Mamorona fangatahana sonia ny taratasy fanamarinana:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr
- Mamorona taratasy fanamarinana mpitantana:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem
- Mamorona taratasy fanamarinana ho an'ny node Elasticsearch:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem
- Mamorona fangatahana sonia:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr
- Fanasoniavana ny taratasy fanamarinana:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem
- Apetraho eo anelanelan'ny node Elasticsearch ao amin'ity lahatahiry manaraka ity ny taratasy fanamarinana:
/etc/elasticsearch/
mila ny rakitra izahay:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem
- Mampiendrika /etc/elasticsearch/elasticsearch.yml - ovay ny anaran'ny rakitra misy certificat ho an'ireo novokarinay:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: β CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: β CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
Fanovana tenimiafina ho an'ny mpampiasa anatiny
- Amin'ny fampiasana ny baiko etsy ambany, dia mamoaka ny tenimiafina amin'ny console izahay:
sh ${OD_SEC}/tools/hash.sh -p [ΠΏΠ°ΡΠΎΠ»Ρ]
- Ovay ny hash amin'ny rakitra ho ilay voaray:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
Mametraka firewall ao amin'ny OS
- Avelao hanomboka ny firewall:
systemctl enable firewalld
- Andao hanomboka izany:
systemctl start firewalld
- Avelao ny fifandraisana amin'ny Elasticsearch:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent
- Avereno indray ny fitsipiky ny firewall:
firewall-cmd --reload
- Ireto ny fitsipika momba ny asa:
firewall-cmd --list-all
Mampihatra ny fanovana rehetra ataontsika amin'ny Elasticsearch
- Mamorona fari-piainana miaraka amin'ny lalana feno mankany amin'ny lahatahiry miaraka amin'ny plugin:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"
- Andao hanao script izay hanavao ny tenimiafina sy hanamarina ny fika:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem
- Jereo raha nampiharina ny fanovana:
curl -XGET https://[IP/ΠΠΌΡ Elasticsearch]:9200/_cat/nodes?v -u admin:[ΠΏΠ°ΡΠΎΠ»Ρ] --insecure
Izay ihany, ireto no fika farany ambany indrindra miaro ny Elasticsearch amin'ny fifandraisana tsy nahazoana alalana.
Source: www.habr.com