ElasticSearch如何增加x-pack安全认证

ElasticSearch如何增加x-pack安全认证，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

ElasticSearch于6.8及7.1版本开始提供免费的x-pack, 并已默认集成，只需通过简单的配置即可开启。 官方链接，主要包含以下特性:

1. TLS 功能，可对通信进行加密

2. 文件和原生 Realm，可用于创建和管理用户

3. 基于角色的访问控制，可用于控制用户对集群 API 和索引的访问权限；通过针对 Kibana Spaces 的安全功能，还可允许在 Kibana 中实现多租户

通常我们的ES节点部署在内网当中，不对外暴露9200等端口，kibana是一款非常强大的可视化工具，devTools使开发人员可以方便的操作集群，索引，但是这个页面非开发人员也是可以看到的，因此第一步就是先要屏蔽非es使用方，提供一个登录认证功能。 

ES配置

1. yml添加xpack配置

首先在elasticsearch.yml中加入以下配置

xpack.security.enabled: true
xpack.license.self_generated.type: basic
xpack.security.transport.ssl.enabled: true

备注：
这一步加完之后启动Es，访问http://localhost:9200/就会弹出验证界面，但是这个时候还没有设置用户名和密码,等后续设置完用户名和密码之后，可以输入（elastic，elastic）进入

2. bin目录下执行命令

./elasticsearch-setup-passwords interactive

执行命令：分别设置各个组件的密码（pws=elastic）

lihuandeMacBook-Pro:bin lihuan$ ./elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
passwords must be at least [6] characters long
Try again.
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
lihuandeMacBook-Pro:bin lihuan$

ES的设置结束，接下来是kibana，切换至kibana/bin目录

Kibana配置

1. 删除旧验证

查看keystore列表：
./kibana-keystore list

操作：
lihuandeMacBook-Pro:bin lihuan$ ls
kibana		kibana-keystore	kibana-plugin
lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore list
ERROR: Kibana keystore not found. Use 'create' command to create one.


如果发现已安装，但忘记了密码，可以删除原有的配置：
./kibana-keystore remove elasticsearch.username
./kibana-keystore remove elasticsearch.password

操作：
lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore remove elasticsearch.username
./kibana-keystore remove elasticsearch.password
lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore remove elasticsearch.password
lihuandeMacBook-Pro:bin lihuan$

2. 添加验证

最后添加ES密码，虽然可以在kibana.yml中配置，但是不安全，要考虑该目录的Linux权限，增加了复杂性，这也是官方提供keystore工具的原因之一:
./kibana-keystore add elasticsearch.username
./kibana-keystore add elasticsearch.password


操作：username=elastic password=elastic
lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore add elasticsearch.username
Enter value for elasticsearch.username: *******
lihuandeMacBook-Pro:bin lihuan$ ./kibana-keystore add elasticsearch.password
Enter value for elasticsearch.password: ******
lihuandeMacBook-Pro:bin lihuan$

注意：这里的用户名密码是在Es配置的时候添加的Kibana用户名和密码，不可以重新设置

3. 重启Kibana

sh kibana

访问：http://localhost:5601/

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注亿速云行业资讯频道，感谢您对亿速云的支持。