لچک لرونکي سټیک د SIEM سیسټم بازار کې یو پیژندل شوی وسیله ده (په حقیقت کې، نه یوازې دوی). دا کولی شي ډیری مختلف اندازې ډاټا راټول کړي، دواړه حساس او ډیر حساس ندي. دا په بشپړه توګه سمه نه ده که چیرې د لچک لرونکي سټیک عناصرو ته لاسرسی پخپله خوندي نه وي. په ډیفالټ ډول، د بکس څخه بهر ټول لچک لرونکي عناصر (Elasticsearch، Logstash، Kibana، او Beats راټولونکي) په خلاص پروتوکولونو کې پرمخ ځي. او پخپله کبانا کې، تصدیق غیر فعال دی. دا ټول تعاملات خوندي کیدی شي او پدې مقاله کې به موږ تاسو ته ووایو چې دا څنګه ترسره کړئ. د اسانتیا لپاره، موږ داستان په 3 سیمانټیک بلاکونو ویشلی:

• د رول پر بنسټ معلوماتو ته لاسرسي ماډل
• د Elasticsearch کلستر کې د معلوماتو امنیت
• د Elasticsearch کلستر څخه بهر د معلوماتو خوندي کول

د کټ لاندې توضیحات.

د رول پر بنسټ معلوماتو ته لاسرسي ماډل

که تاسو د Elasticsearch نصب کړئ او په هیڅ ډول یې ټون نه کړئ، ټولو شاخصونو ته لاسرسی به د هرچا لپاره خلاص وي. ښه، یا هغه څوک چې کولی شي curl وکاروي. د دې څخه مخنیوي لپاره، Elasticsearch یو رول ماډل لري چې شتون لري د لومړني ګډون سره پیل کیږي (کوم چې وړیا دی). په سکیمیک ډول دا یو څه داسې ښکاري:

په انځور کې څه دي

• کاروونکي هر څوک دي چې کولی شي د خپلو اسنادو په کارولو سره لاګ ان شي.
• رول د حقوقو یوه ټولګه ده.
• حقوق د امتیازاتو یوه ټولګه ده.
• امتیازات د لیکلو، لوستلو، ړنګولو، او داسې نورو اجازه لري. ((د امتیازاتو بشپړ لیست)
• سرچینې شاخصونه، اسناد، ساحې، کاروونکي، او نور د ذخیره کولو ادارې دي (د ځینو سرچینو رول ماډل یوازې د تادیه شوي ګډون سره شتون لري).

په ډیفالټ ډول Elasticsearch لري د بکس کاروونکي، کوم چې دوی ورسره تړلي دي د بکس رول. یوځل چې تاسو د امنیت تنظیمات فعال کړئ ، تاسو کولی شئ سمدلاسه د دوی کارول پیل کړئ.

د Elasticsearch ترتیباتو کې د امنیت فعالولو لپاره، تاسو اړتیا لرئ چې دا د ترتیب کولو فایل کې اضافه کړئ (د ډیفالټ لخوا دا دی elasticsearch/config/elasticsearch.ymlنوې کرښه:

xpack.security.enabled: true

د ترتیب کولو فایل بدلولو وروسته، د بدلونونو د اغیزمن کیدو لپاره Elasticsearch پیل یا بیا پیل کړئ. بل ګام د بکس کاروونکو ته د رمزونو ټاکل دي. راځئ چې دا د لاندې کمانډ په کارولو سره په متقابل ډول ترسره کړو:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

موږ ګورو:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

تاسو کولی شئ خپل ځان په شا وخورئ - د Elasticsearch اړخ کې تنظیمات بشپړ شوي. اوس د کیبانا تنظیم کولو وخت دی. که تاسو دا اوس پرمخ وړئ، غلطۍ به ښکاره شي، نو دا مهمه ده چې یو کلیدي پلورنځی جوړ کړئ. دا په دوه حکمونو کې ترسره کیږي (user کبانا او پاسورډ په Elasticsearch کې د رمز جوړولو مرحله کې داخل شوی):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

که هرڅه سم وي، کیبانا به د ننوتلو او پټنوم غوښتنه پیل کړي. په اساسي ګډون کې د داخلي کاروونکو پر بنسټ د رول ماډل شامل دي. د سرو زرو سره پیل کول، تاسو کولی شئ د بهرني تصدیق سیسټمونو سره وصل شئ - LDAP، PKI، فعال ډایرکټر او د واحد لاسلیک سیسټمونه.

د Elasticsearch دننه شیانو ته د لاسرسي حقونه هم محدود کیدی شي. په هرصورت، د اسنادو یا ساحو لپاره ورته کولو لپاره، تاسو به تادیه شوي ګډون ته اړتیا ولرئ (دا لوکس د پلاټینم کچې سره پیل کیږي). دا ترتیبات د کیبانا انٹرفیس یا له لارې شتون لري د امنیت API. تاسو کولی شئ د دمخه پیژندل شوي Dev Tools مینو له لارې چیک کړئ:

د رول جوړول

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

د کاروونکي جوړول

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

د Elasticsearch کلستر کې د معلوماتو امنیت

کله چې Elasticsearch په کلستر کې پرمخ ځي (کوم چې عام دی)، په کلستر کې امنیتي ترتیبات مهم کیږي. د نوډونو ترمنځ د خوندي اړیکو لپاره، Elasticsearch د TLS پروتوکول کاروي. د دوی تر مینځ د خوندي تعامل تنظیم کولو لپاره ، تاسو یو سند ته اړتیا لرئ. موږ د PEM بڼه کې یو سند او شخصي کیلي تولیدوو:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

د پورته کمانډ اجرا کولو وروسته، په لارښود کې /../elasticsearch آرشیف به ښکاره شي elastic-stack-ca.zip. د دې دننه به تاسو یو سند او یو شخصي کیلي د توسیعونو سره ومومئ crt и کلیدي په ترتیب سره. دا مشوره ورکول کیږي چې دوی په یوې ګډې سرچینې کې واچوي، کوم چې باید په کلستر کې د ټولو نوډونو څخه د لاسرسي وړ وي.

هر نوډ اوس خپل سندونه او شخصي کیلي ته اړتیا لري چې د شریک شوي لارښود پراساس دي. کله چې د قوماندې اجرا کول، تاسو څخه به د پټنوم تنظیم کولو غوښتنه وشي. تاسو کولی شئ اضافي اختیارونه اضافه کړئ -ip او -dns د متقابل نوډونو بشپړ تایید لپاره.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

د کمانډ اجرا کولو په پایله کې، موږ به د PKCS#12 بڼه کې یو سند او شخصي کیلي ترلاسه کړو، چې د پټنوم لخوا خوندي شوی. ټول هغه څه چې پاتې دي د تولید شوي فایل حرکت کول دي p12 د ترتیب لارښود ته:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

په بڼه کې سند ته پاسورډ اضافه کړئ p12 په هر نوډ کې کیسټور او ټرسټسټور کې:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

دمخه پیژندل شوی elasticsearch.yml ټول هغه څه چې پاتې دي د سند ډیټا سره لاینونه اضافه کول دي:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

موږ ټول Elasticsearch نوډونه پیل کوو او اجرا کوو کره. که هرڅه په سمه توګه ترسره شوي وي، د څو نوډونو سره ځواب به بیرته راشي:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

یو بل امنیتي اختیار شتون لري - د IP پتې فلټر کول (د سرو زرو په ګډون کې شتون لري). تاسو ته اجازه درکوي د IP پتې سپین لیستونه رامینځته کړئ له کوم څخه چې تاسو ته اجازه درکوي نوډونو ته لاسرسی ومومئ.

د Elasticsearch کلستر څخه بهر د معلوماتو خوندي کول

د کلستر څخه بهر د بهرنیو وسایلو سره نښلول معنی لري: کبانا، لوګسټاش، بیټس یا نور بهرني پیرودونکي.

د https لپاره د ملاتړ تنظیم کولو لپاره (د http پرځای) ، elasticsearch.yml ته نوې کرښې اضافه کړئ:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

ځکه سند د رمز خوندي دی، دا په هر نوډ کې کیسټور او ټرسټسټور ته اضافه کړئ:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

د کلیدونو اضافه کولو وروسته، د Elasticsearch نوډونه چمتو دي چې د https له لارې وصل شي. اوس دوی په لاره اچول کیدی شي.

بل ګام دا دی چې کیبانا سره وصل کولو لپاره کیلي رامینځته کړئ او په ترتیب کې یې اضافه کړئ. د هغه سند پراساس چې دمخه په شریک لارښود کې موقعیت لري، موږ به د PEM په بڼه یو سند تولید کړو (PKCS#12 Kibana، Logstash او Beats لاهم ملاتړ نه کوي):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

ټول هغه څه چې پاتې دي د کیبانا ترتیب سره فولډر کې رامینځته شوي کیلي خلاصول دي:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

کلیدونه شتون لري، نو ټول هغه څه چې پاتې دي د کیبانا ترتیب بدلول دي ترڅو دا د دوی کارول پیل کړي. د kibana.yml ترتیب کولو فایل کې، HTTP ته https ته بدل کړئ او د SSL پیوستون ترتیباتو سره لاینونه اضافه کړئ. وروستۍ درې کرښې د کارونکي براوزر او کیبانا ترمینځ خوندي اړیکه تنظیموي.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

پدې توګه ، تنظیمات بشپړ شوي او په Elasticsearch کلستر کې ډیټا ته لاسرسی کوډ شوی دی.

که تاسو په وړیا یا تادیه شوي ګډونونو کې د لچک لرونکي سټیک وړتیاو په اړه پوښتنې لرئ ، د دندو نظارت کول یا د SIEM سیسټم رامینځته کول ، نو غوښتنه پریږدئ د غبرګون فورمه زموږ په ویب پا onه کې.

په هابری کې د لچک لرونکي سټیک په اړه زموږ نور مقالې:

په لچک لرونکي سټیک کې د ماشین زده کړې پوهیدل (ارف ایلاسټیکسرچ ، عرف ELK)

Elasticsearch اندازه کول

سرچینه: www.habr.com