په تیر کال کې، د ډیټابیسونو څخه ډیری لیکونه شتون لري
راځئ چې سمدلاسه ریزرویشن وکړو چې زموږ په عمل کې موږ د لاګونو ذخیره کولو او زموږ IaaS پلیټ فارم کې د معلوماتو امنیت وسیلو ، OS او سافټویر لاګونو تحلیل کولو لپاره Elasticsearch کاروو ، کوم چې د 152-FZ ، Cloud-152 اړتیاو سره مطابقت لري.
موږ ګورو چې ایا ډیټابیس انټرنیټ ته "پاڅیږي".
د لیکو په ډیری پیژندل شویو قضیو کې (
لومړی، راځئ چې په انټرنیټ کې د خپرولو سره معامله وکړو. ولې داسې کیږي؟ حقیقت دا دی چې د Elasticsearch د ډیر انعطاف وړ عملیاتو لپاره
که تاسو دننه شئ، نو د بندولو لپاره یې منډه کړئ.
د ډیټابیس سره د پیوستون ساتنه
اوس موږ به دا جوړ کړو چې پرته له تصدیق کولو ډیټابیس سره وصل کول ناممکن دي.
Elasticsearch د تصدیق کولو ماډل لري چې ډیټابیس ته لاسرسی محدودوي، مګر دا یوازې د تادیه شوي X-Pack پلگ ان سیټ کې شتون لري (1 میاشت وړیا کارول).
ښه خبر دا دی چې د 2019 په مني کې، ایمیزون خپل پرمختګونه پرانستل، کوم چې د ایکس پیک سره مخ کیږي. د تصدیق فعالیت کله چې ډیټابیس سره وصل کیږي د Elasticsearch 7.3.2 نسخه لپاره د وړیا جواز لاندې شتون لري ، او د Elasticsearch 7.4.0 لپاره نوې خپرونه دمخه په کار کې ده.
دا پلگ ان نصب کول اسانه دي. د سرور کنسول ته لاړ شئ او ذخیره وصل کړئ:
د RPM پر بنسټ:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
د DEB پر بنسټ:
wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
د SSL له لارې د سرورونو ترمنځ متقابل عمل تنظیم کول
کله چې د پلگ ان نصب کول ، د ډیټابیس سره وصل شوي بندر ترتیب بدلیږي. دا د SSL کوډ کول فعالوي. د دې لپاره چې د کلستر سرورونه د یو بل سره کار کولو ته دوام ورکړي، تاسو اړتیا لرئ د SSL په کارولو سره د دوی ترمنځ تعامل تنظیم کړئ.
د کوربه تر مینځ باور د خپل سند واک سره یا پرته رامینځته کیدی شي. د لومړۍ میتود سره ، هرڅه روښانه دي: تاسو اړتیا لرئ د CA متخصصینو سره اړیکه ونیسئ. راځئ چې مستقیم دویم ته لاړ شو.
- د بشپړ ډومین نوم سره یو متغیر جوړ کړئ:
export DOMAIN_CN="example.com"
- شخصي کیلي جوړه کړئ:
openssl genrsa -out root-ca-key.pem 4096
- د روټ سند لاسلیک کړئ. دا خوندي وساتئ: که دا ورک شوی وي یا جوړجاړی شوی وي، د ټولو کوربه ترمنځ باور به بیا تنظیم شي.
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem
- د مدیر کیلي رامینځته کړئ:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem
- د سند لاسلیک کولو لپاره غوښتنه رامینځته کړئ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr
- د مدیر سند جوړ کړئ:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem
- د Elasticsearch نوډ لپاره سندونه جوړ کړئ:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem
- د لاسلیک غوښتنه جوړه کړئ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr
- د سند لاسلیک کول:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem
- سند په لاندې فولډر کې د Elasticsearch نوډونو ترمنځ ځای په ځای کړئ:
/etc/elasticsearch/
موږ فایلونو ته اړتیا لرو:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem
- جوړول /etc/elasticsearch/elasticsearch.yml - زموږ لخوا رامینځته شوي سندونو سره د فایلونو نوم بدل کړئ:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
د داخلي کاروونکو لپاره د پاسورډونو بدلول
- د لاندې کمانډ په کارولو سره ، موږ کنسول ته پاسورډ هش ورکوو:
sh ${OD_SEC}/tools/hash.sh -p [пароль]
- په فایل کې هش ترلاسه شوي ته بدل کړئ:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
په OS کې د فایر وال تنظیم کول
- د فایر وال پیل کولو ته اجازه ورکړئ:
systemctl enable firewalld
- راځئ چې دا پیل کړو:
systemctl start firewalld
- Elasticsearch ته د پیوستون اجازه ورکړئ:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent
- د فایروال قواعد بیا پورته کړئ:
firewall-cmd --reload
- دلته د کار اصول دي:
firewall-cmd --list-all
په Elasticsearch کې زموږ ټول بدلونونه پلي کول
- د پلگ ان سره فولډر ته د بشپړې لارې سره متغیر جوړ کړئ:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/"
- راځئ یو سکریپټ چلوو چې پاسورډونه تازه کړي او تنظیمات چیک کړي:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem
- وګورئ که بدلونونه پلي شوي وي:
curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure
دا ټول دي، دا لږترلږه ترتیبات دي چې د غیر مجاز اړیکو څخه د Elasticsearch ساتنه کوي.
سرچینه: www.habr.com