په تیر کال کې، د ډیټابیسونو څخه ډیری لیکونه شتون لري (, и ). په ډیرو مواردو کې، شخصي معلومات په ډیټابیس کې زیرمه شوي. د دې لیکونو مخه نیول کیدی شي که چیرې ، د ډیټابیس له مینځه وړلو وروسته ، مدیران د یو څو ساده تنظیماتو چک کولو زحمت کړی وی. نن موږ به د هغوی په اړه خبرې وکړي.
راځئ چې سمدلاسه ریزرویشن وکړو چې زموږ په عمل کې موږ د لاګونو ذخیره کولو او زموږ IaaS پلیټ فارم کې د معلوماتو امنیت وسیلو ، OS او سافټویر لاګونو تحلیل کولو لپاره Elasticsearch کاروو ، کوم چې د 152-FZ ، Cloud-152 اړتیاو سره مطابقت لري.
موږ ګورو چې ایا ډیټابیس انټرنیټ ته "پاڅیږي".
د لیکو په ډیری پیژندل شویو قضیو کې (, ) برید کونکي په ساده او بې ساري ډول ډیټا ته لاس رسی ترلاسه کړ: ډیټابیس په انټرنیټ کې خپور شوی و ، او دا ممکنه وه چې له تصدیق پرته ورسره وصل شي.
لومړی، راځئ چې په انټرنیټ کې د خپرولو سره معامله وکړو. ولې داسې کیږي؟ حقیقت دا دی چې د Elasticsearch د ډیر انعطاف وړ عملیاتو لپاره د دریو سرورونو کلستر جوړ کړئ. د دې لپاره چې ډیټابیسونه د یو بل سره اړیکه ونیسي، تاسو اړتیا لرئ بندرونه خلاص کړئ. د پایلې په توګه، مدیران په هیڅ ډول ډیټابیس ته لاسرسی نه محدودوي، او تاسو کولی شئ له هر ځای څخه ډیټابیس سره وصل شئ. دا اسانه ده چې وګورئ ایا ډیټابیس له بهر څخه د لاسرسي وړ دی. یوازې په براوزر کې دننه شئ http://[IP/Имя Elasticsearch]:9200/_cat/nodes?v
که تاسو دننه شئ، نو د بندولو لپاره یې منډه کړئ.
د ډیټابیس سره د پیوستون ساتنه
اوس موږ به دا جوړ کړو چې پرته له تصدیق کولو ډیټابیس سره وصل کول ناممکن دي.
Elasticsearch د تصدیق کولو ماډل لري چې ډیټابیس ته لاسرسی محدودوي، مګر دا یوازې د تادیه شوي X-Pack پلگ ان سیټ کې شتون لري (1 میاشت وړیا کارول).
ښه خبر دا دی چې د 2019 په مني کې، ایمیزون خپل پرمختګونه پرانستل، کوم چې د ایکس پیک سره مخ کیږي. د تصدیق فعالیت کله چې ډیټابیس سره وصل کیږي د Elasticsearch 7.3.2 نسخه لپاره د وړیا جواز لاندې شتون لري ، او د Elasticsearch 7.4.0 لپاره نوې خپرونه دمخه په کار کې ده.
دا پلگ ان نصب کول اسانه دي. د سرور کنسول ته لاړ شئ او ذخیره وصل کړئ:
د RPM پر بنسټ:
curl https://d3g5vo6xdbdb9a.cloudfront.net/yum/opendistroforelasticsearch-artifacts.repo -o /etc/yum.repos.d/opendistroforelasticsearch-artifacts.repo
yum update
yum install opendistro-security
د DEB پر بنسټ:
wget -qO ‐ https://d3g5vo6xdbdb9a.cloudfront.net/GPG-KEY-opendistroforelasticsearch | sudo apt-key add -
د SSL له لارې د سرورونو ترمنځ متقابل عمل تنظیم کول
کله چې د پلگ ان نصب کول ، د ډیټابیس سره وصل شوي بندر ترتیب بدلیږي. دا د SSL کوډ کول فعالوي. د دې لپاره چې د کلستر سرورونه د یو بل سره کار کولو ته دوام ورکړي، تاسو اړتیا لرئ د SSL په کارولو سره د دوی ترمنځ تعامل تنظیم کړئ.
د کوربه تر مینځ باور د خپل سند واک سره یا پرته رامینځته کیدی شي. د لومړۍ میتود سره ، هرڅه روښانه دي: تاسو اړتیا لرئ د CA متخصصینو سره اړیکه ونیسئ. راځئ چې مستقیم دویم ته لاړ شو.
- د بشپړ ډومین نوم سره یو متغیر جوړ کړئ:
export DOMAIN_CN="example.com" - شخصي کیلي جوړه کړئ:
openssl genrsa -out root-ca-key.pem 4096 - د روټ سند لاسلیک کړئ. دا خوندي وساتئ: که دا ورک شوی وي یا جوړجاړی شوی وي، د ټولو کوربه ترمنځ باور به بیا تنظیم شي.
openssl req -new -x509 -sha256 -subj "/C=RU/ST=Moscow/O=Moscow, Inc./CN=${DOMAIN_CN}" -key root-ca-key.pem -out root-ca.pem - د مدیر کیلي رامینځته کړئ:
openssl genrsa -out admin-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem - د سند لاسلیک کولو لپاره غوښتنه رامینځته کړئ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${DOMAIN_CN}/CN=admin " -key admin-key.pem -out admin.csr - د مدیر سند جوړ کړئ:
openssl x509 -req -extensions usr_cert -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem - د Elasticsearch نوډ لپاره سندونه جوړ کړئ:
export NODENAME="node-01" openssl genrsa -out ${NODENAME}-key-temp.pem 4096 openssl pkcs8 -inform PEM -outform PEM -in ${NODENAME}-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out ${NODENAME}-key.pem - د لاسلیک غوښتنه جوړه کړئ:
openssl req -new -subj "/C=RU/ST=Moscow/O=Moscow Inc./CN=${NODENAME}.${DOMAIN_CN}" -addext"subjectAltName=DNS:${NODENAME}.${DOMAIN_CN},DNS:www.${NODENAME}.${DOMAIN_CN}" -key ${NODENAME}-key.pem -out ${NODENAME}.csr - د سند لاسلیک کول:
openssl x509 -req -in node.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out node.pem - سند په لاندې فولډر کې د Elasticsearch نوډونو ترمنځ ځای په ځای کړئ:
/etc/elasticsearch/
موږ فایلونو ته اړتیا لرو:node-01-key.pem node-01.pem admin-key.pem admin.pem root-ca.pem - جوړول /etc/elasticsearch/elasticsearch.yml - زموږ لخوا رامینځته شوي سندونو سره د فایلونو نوم بدل کړئ:
opendistro_security.ssl.transport.pemcert_filepath: node-01.pem opendistro_security.ssl.transport.pemkey_filepath: node-01-key.pem opendistro_security.ssl.transport.pemtrustedcas_filepath: root-ca.pem opendistro_security.ssl.transport.enforce_hostname_verification: false opendistro_security.ssl.http.enabled: true opendistro_security.ssl.http.pemcert_filepath: node-01.pem opendistro_security.ssl.http.pemkey_filepath: node-01-key.pem opendistro_security.ssl.http.pemtrustedcas_filepath: root-ca.pem opendistro_security.allow_unsafe_democertificates: false opendistro_security.allow_default_init_securityindex: true opendistro_security.authcz.admin_dn: − CN=admin,CN=example.com,O=Moscow Inc.,ST=Moscow,C=RU opendistro_security.nodes_dn: − CN=node-01.example.com,O=Moscow Inc.,ST=Moscow,C=RU
د داخلي کاروونکو لپاره د پاسورډونو بدلول
- د لاندې کمانډ په کارولو سره ، موږ کنسول ته پاسورډ هش ورکوو:
sh ${OD_SEC}/tools/hash.sh -p [пароль] - په فایل کې هش ترلاسه شوي ته بدل کړئ:
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
په OS کې د فایر وال تنظیم کول
- د فایر وال پیل کولو ته اجازه ورکړئ:
systemctl enable firewalld - راځئ چې دا پیل کړو:
systemctl start firewalld - Elasticsearch ته د پیوستون اجازه ورکړئ:
firewall-cmd --set-default-zone work firewall-cmd --zone=work --add-port=9200/TCP --permanent - د فایروال قواعد بیا پورته کړئ:
firewall-cmd --reload - دلته د کار اصول دي:
firewall-cmd --list-all
په Elasticsearch کې زموږ ټول بدلونونه پلي کول
- د پلگ ان سره فولډر ته د بشپړې لارې سره متغیر جوړ کړئ:
export OD_SEC="/usr/share/elasticsearch/plugins/opendistro_security/" - راځئ یو سکریپټ چلوو چې پاسورډونه تازه کړي او تنظیمات چیک کړي:
${OD_SEC}/tools/securityadmin.sh -cd ${OD_SEC}/securityconfig/ -icl -nhnv -cacert /etc/elasticsearch/root-ca.pem -cert /etc/elasticsearch/admin.pem -key /etc/elasticsearch/admin-key.pem - وګورئ که بدلونونه پلي شوي وي:
curl -XGET https://[IP/Имя Elasticsearch]:9200/_cat/nodes?v -u admin:[пароль] --insecure
دا ټول دي، دا لږترلږه ترتیبات دي چې د غیر مجاز اړیکو څخه د Elasticsearch ساتنه کوي.
سرچینه: www.habr.com