🥇ਲੀਕ ਤੋਂ ਬਚਣ ਲਈ Elasticsearch ਨੂੰ ਕਿਵੇਂ ਕੌਂਫਿਗਰ ਕਰਨਾ ਹੈ

ਪਿਛਲੇ ਸਾਲ ਦੌਰਾਨ, ਡੇਟਾਬੇਸ ਤੋਂ ਬਹੁਤ ਸਾਰੇ ਲੀਕ ਹੋਏ ਹਨ ਲਲਸੀ ਖੋਜ (ਦੇਖ!, ਦੇਖ! и ਦੇਖ!). ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਨਿੱਜੀ ਡੇਟਾ ਡੇਟਾਬੇਸ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹਨਾਂ ਲੀਕ ਤੋਂ ਬਚਿਆ ਜਾ ਸਕਦਾ ਸੀ ਜੇਕਰ, ਡੇਟਾਬੇਸ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਪ੍ਰਬੰਧਕਾਂ ਨੇ ਕੁਝ ਸਧਾਰਨ ਸੈਟਿੰਗਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਖੇਚਲ ਕੀਤੀ ਹੁੰਦੀ। ਅੱਜ ਅਸੀਂ ਉਨ੍ਹਾਂ ਬਾਰੇ ਗੱਲ ਕਰਾਂਗੇ।

ਆਓ ਤੁਰੰਤ ਇੱਕ ਰਿਜ਼ਰਵੇਸ਼ਨ ਕਰੀਏ ਕਿ ਸਾਡੇ ਅਭਿਆਸ ਵਿੱਚ ਅਸੀਂ ਸਾਡੇ IaaS ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਲੌਗਸ ਨੂੰ ਸਟੋਰ ਕਰਨ ਅਤੇ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ, OS ਅਤੇ ਸੌਫਟਵੇਅਰ ਦੇ ਲੌਗਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਲਈ Elasticsearch ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ, ਜੋ ਕਿ 152-FZ, Cloud-152 ਦੀਆਂ ਲੋੜਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ।

ਅਸੀਂ ਜਾਂਚ ਕਰਦੇ ਹਾਂ ਕਿ ਡੇਟਾਬੇਸ ਇੰਟਰਨੈਟ ਨਾਲ "ਸਟਿੱਕ ਆਉਟ" ਹੈ ਜਾਂ ਨਹੀਂ

ਲੀਕ ਦੇ ਜ਼ਿਆਦਾਤਰ ਜਾਣੇ-ਪਛਾਣੇ ਮਾਮਲਿਆਂ ਵਿੱਚ (ਦੇਖ!, ਦੇਖ!) ਹਮਲਾਵਰ ਨੇ ਸਧਾਰਨ ਅਤੇ ਬੇਮਿਸਾਲ ਢੰਗ ਨਾਲ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ: ਡੇਟਾਬੇਸ ਨੂੰ ਇੰਟਰਨੈਟ ਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਿਨਾਂ ਇਸ ਨਾਲ ਜੁੜਨਾ ਸੰਭਵ ਸੀ.

ਪਹਿਲਾਂ, ਆਓ ਇੰਟਰਨੈੱਟ 'ਤੇ ਪ੍ਰਕਾਸ਼ਨ ਨਾਲ ਨਜਿੱਠੀਏ। ਅਜਿਹਾ ਕਿਉਂ ਹੁੰਦਾ ਹੈ? ਤੱਥ ਇਹ ਹੈ ਕਿ Elasticsearch ਦੇ ਵਧੇਰੇ ਲਚਕਦਾਰ ਕਾਰਵਾਈ ਲਈ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਿੰਨ ਸਰਵਰਾਂ ਦਾ ਇੱਕ ਕਲੱਸਟਰ ਬਣਾਓ। ਡੇਟਾਬੇਸ ਨੂੰ ਇੱਕ ਦੂਜੇ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਪੋਰਟ ਖੋਲ੍ਹਣ ਦੀ ਲੋੜ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, ਪ੍ਰਸ਼ਾਸਕ ਕਿਸੇ ਵੀ ਤਰੀਕੇ ਨਾਲ ਡੇਟਾਬੇਸ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਨਹੀਂ ਕਰਦੇ, ਅਤੇ ਤੁਸੀਂ ਕਿਤੇ ਵੀ ਡੇਟਾਬੇਸ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹੋ। ਇਹ ਜਾਂਚਣਾ ਆਸਾਨ ਹੈ ਕਿ ਡੇਟਾਬੇਸ ਬਾਹਰੋਂ ਪਹੁੰਚਯੋਗ ਹੈ ਜਾਂ ਨਹੀਂ। ਬਸ ਬਰਾਊਜ਼ਰ ਵਿੱਚ ਦਰਜ ਕਰੋ http://[IP/Имя Elasticsearch]:9200/_cat/nodes?v

ਜੇ ਤੁਸੀਂ ਅੰਦਰ ਜਾ ਸਕਦੇ ਹੋ, ਤਾਂ ਇਸਨੂੰ ਬੰਦ ਕਰਨ ਲਈ ਦੌੜੋ.

ਡਾਟਾਬੇਸ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਦੀ ਸੁਰੱਖਿਆ

ਹੁਣ ਅਸੀਂ ਇਸਨੂੰ ਬਣਾਵਾਂਗੇ ਤਾਂ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਿਨਾਂ ਡੇਟਾਬੇਸ ਨਾਲ ਜੁੜਨਾ ਅਸੰਭਵ ਹੈ.

Elasticsearch ਕੋਲ ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਮੋਡੀਊਲ ਹੈ ਜੋ ਡੇਟਾਬੇਸ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਿਤ ਕਰਦਾ ਹੈ, ਪਰ ਇਹ ਸਿਰਫ਼ ਭੁਗਤਾਨ ਕੀਤੇ X-Pack ਪਲੱਗਇਨ ਸੈੱਟ (1 ਮਹੀਨੇ ਦੀ ਮੁਫ਼ਤ ਵਰਤੋਂ) ਵਿੱਚ ਉਪਲਬਧ ਹੈ।

ਚੰਗੀ ਖ਼ਬਰ ਇਹ ਹੈ ਕਿ 2019 ਦੇ ਪਤਝੜ ਵਿੱਚ, ਐਮਾਜ਼ਾਨ ਨੇ ਆਪਣੇ ਵਿਕਾਸ ਨੂੰ ਖੋਲ੍ਹਿਆ, ਜੋ ਕਿ ਐਕਸ-ਪੈਕ ਨਾਲ ਓਵਰਲੈਪ ਹੁੰਦਾ ਹੈ. ਇੱਕ ਡੇਟਾਬੇਸ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ ਪ੍ਰਮਾਣਿਕਤਾ ਫੰਕਸ਼ਨ Elasticsearch 7.3.2 ਸੰਸਕਰਣ ਲਈ ਇੱਕ ਮੁਫਤ ਲਾਇਸੈਂਸ ਦੇ ਤਹਿਤ ਉਪਲਬਧ ਹੋ ਗਿਆ ਹੈ, ਅਤੇ Elasticsearch 7.4.0 ਲਈ ਇੱਕ ਨਵਾਂ ਰੀਲੀਜ਼ ਪਹਿਲਾਂ ਹੀ ਕੰਮ ਵਿੱਚ ਹੈ।

ਇਹ ਪਲੱਗਇਨ ਇੰਸਟਾਲ ਕਰਨ ਲਈ ਆਸਾਨ ਹੈ. ਸਰਵਰ ਕੰਸੋਲ ਤੇ ਜਾਓ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਕਨੈਕਟ ਕਰੋ:

RPM ਆਧਾਰਿਤ:

curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo yum update yum install opendistro-security

DEB ਅਧਾਰਤ:

wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -

SSL ਰਾਹੀਂ ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਆਪਸੀ ਤਾਲਮੇਲ ਸਥਾਪਤ ਕਰਨਾ

ਪਲੱਗਇਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਸਮੇਂ, ਡੇਟਾਬੇਸ ਨਾਲ ਜੁੜਨ ਵਾਲੇ ਪੋਰਟ ਦੀ ਸੰਰਚਨਾ ਬਦਲ ਜਾਂਦੀ ਹੈ। ਇਹ SSL ਇਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਕਲੱਸਟਰ ਸਰਵਰਾਂ ਨੂੰ ਇੱਕ ਦੂਜੇ ਨਾਲ ਕੰਮ ਕਰਨਾ ਜਾਰੀ ਰੱਖਣ ਲਈ, ਤੁਹਾਨੂੰ SSL ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਹਨਾਂ ਵਿਚਕਾਰ ਪਰਸਪਰ ਪ੍ਰਭਾਵ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਮੇਜ਼ਬਾਨਾਂ ਵਿਚਕਾਰ ਭਰੋਸਾ ਇਸ ਦੇ ਆਪਣੇ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਦੇ ਨਾਲ ਜਾਂ ਬਿਨਾਂ ਸਥਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਪਹਿਲੀ ਵਿਧੀ ਨਾਲ, ਸਭ ਕੁਝ ਸਪੱਸ਼ਟ ਹੈ: ਤੁਹਾਨੂੰ ਸਿਰਫ਼ CA ਮਾਹਿਰਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਆਉ ਸਿੱਧੇ ਦੂਜੇ ਵੱਲ ਵਧੀਏ।

ਪੂਰੇ ਡੋਮੇਨ ਨਾਮ ਨਾਲ ਇੱਕ ਵੇਰੀਏਬਲ ਬਣਾਓ:

export DOMAIN_CN="example.com"
ਇੱਕ ਨਿੱਜੀ ਕੁੰਜੀ ਬਣਾਓ:

openssl genrsa -out root-ca-key.pem 4096
ਰੂਟ ਸਰਟੀਫਿਕੇਟ 'ਤੇ ਦਸਤਖਤ ਕਰੋ। ਇਸ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖੋ: ਜੇਕਰ ਇਹ ਗੁਆਚ ਗਿਆ ਹੈ ਜਾਂ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਸਾਰੇ ਮੇਜ਼ਬਾਨਾਂ ਵਿਚਕਾਰ ਭਰੋਸੇ ਨੂੰ ਮੁੜ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem

ਇੱਕ ਪ੍ਰਸ਼ਾਸਕ ਕੁੰਜੀ ਬਣਾਓ:

openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

ਸਰਟੀਫਿਕੇਟ 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਇੱਕ ਬੇਨਤੀ ਬਣਾਓ:

openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr

ਇੱਕ ਪ੍ਰਬੰਧਕ ਸਰਟੀਫਿਕੇਟ ਬਣਾਓ:

openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem

Elasticsearch ਨੋਡ ਲਈ ਸਰਟੀਫਿਕੇਟ ਬਣਾਓ:

export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem

ਇੱਕ ਦਸਤਖਤ ਬੇਨਤੀ ਬਣਾਓ:

openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr

ਸਰਟੀਫਿਕੇਟ 'ਤੇ ਦਸਤਖਤ ਕਰਨਾ:

openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem

ਹੇਠ ਦਿੱਤੇ ਫੋਲਡਰ ਵਿੱਚ Elasticsearch ਨੋਡਾਂ ਵਿਚਕਾਰ ਸਰਟੀਫਿਕੇਟ ਰੱਖੋ:

/etc/elasticsearch/

ਸਾਨੂੰ ਫਾਈਲਾਂ ਦੀ ਲੋੜ ਹੈ:

node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem

ਅਨੁਕੂਲਿਤ /etc/elasticsearch/elasticsearch.yml - ਸਰਟੀਫਿਕੇਟਾਂ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਦਾ ਨਾਮ ਸਾਡੇ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਨਾਲ ਬਦਲੋ:

opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU

ਅੰਦਰੂਨੀ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਪਾਸਵਰਡ ਬਦਲਣਾ

ਹੇਠਾਂ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਅਸੀਂ ਕੰਸੋਲ ਵਿੱਚ ਪਾਸਵਰਡ ਹੈਸ਼ ਨੂੰ ਆਉਟਪੁੱਟ ਕਰਦੇ ਹਾਂ:

sh ${OD_SEC}/tools/hash.sh -p [пароль]
ਫਾਈਲ ਵਿੱਚ ਹੈਸ਼ ਨੂੰ ਪ੍ਰਾਪਤ ਕੀਤੀ ਇੱਕ ਵਿੱਚ ਬਦਲੋ:

/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml

OS ਵਿੱਚ ਇੱਕ ਫਾਇਰਵਾਲ ਸੈਟ ਅਪ ਕਰਨਾ

ਫਾਇਰਵਾਲ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਦਿਓ:

systemctl enable firewalld
ਚਲੋ ਇਸਨੂੰ ਲਾਂਚ ਕਰੀਏ:

systemctl start firewalld

Elasticsearch ਨਾਲ ਕਨੈਕਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿਓ:

firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent

ਫਾਇਰਵਾਲ ਨਿਯਮਾਂ ਨੂੰ ਰੀਲੋਡ ਕਰੋ:

firewall-cmd --reload
ਇੱਥੇ ਕੰਮ ਕਰਨ ਦੇ ਨਿਯਮ ਹਨ:

firewall-cmd --list-all

ਸਾਡੀਆਂ ਸਾਰੀਆਂ ਤਬਦੀਲੀਆਂ ਨੂੰ Elasticsearch ਵਿੱਚ ਲਾਗੂ ਕਰਨਾ

ਪਲੱਗਇਨ ਨਾਲ ਫੋਲਡਰ ਦੇ ਪੂਰੇ ਮਾਰਗ ਦੇ ਨਾਲ ਇੱਕ ਵੇਰੀਏਬਲ ਬਣਾਓ:

export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"
ਚਲੋ ਇੱਕ ਸਕ੍ਰਿਪਟ ਚਲਾਉਂਦੇ ਹਾਂ ਜੋ ਪਾਸਵਰਡ ਅੱਪਡੇਟ ਕਰੇਗੀ ਅਤੇ ਸੈਟਿੰਗਾਂ ਦੀ ਜਾਂਚ ਕਰੇਗੀ:

${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem
ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ ਤਬਦੀਲੀਆਂ ਲਾਗੂ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ:

curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure

ਬੱਸ ਇਹੀ ਹੈ, ਇਹ ਘੱਟੋ-ਘੱਟ ਸੈਟਿੰਗਾਂ ਹਨ ਜੋ ਇਲਾਸਟਿਕ ਖੋਜ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਕਨੈਕਸ਼ਨਾਂ ਤੋਂ ਬਚਾਉਂਦੀਆਂ ਹਨ।

ਸਰੋਤ: www.habr.com

ਲੀਕ ਤੋਂ ਬਚਣ ਲਈ Elasticsearch ਨੂੰ ਕਿਵੇਂ ਕੌਂਫਿਗਰ ਕਰਨਾ ਹੈ