编程知识 cdmana.com

#ElasticSearch添加HTTP基本认证

ES的HTTP连接没有提供任何的权限控制措施,一旦部署到公共网络就有数据泄露的风险,尤其加上elasticsearch-head这样友好的前端控件,让你的数据一览无余。做一个简单的前端http验证就显得刻不容缓,elasticsearch-http-basic就提供了对ES HTTP连接的IP白名单 密码权限 和信任代理功能。

elasticsearch-http-basic还不支持ES标准的bin/plugin install [github-name]/[repo-name]的安装方式,但作者有提供编译好的jar包,不需要下载源码重新编译。GitHub上目前的最新版本是对应ES的1.4.0版本,但验证过1.5.2也是同样可用的。

插件的安装步骤如下:

  • 从elasticsearch-http-basic的发布版下载对应版本的jar包
  • mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic(注意文件夹的名称)
  • 重启ES进程
  • 验证插件是否生效:curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true(如果看到plugins列表包含有http-basic-server-plugin就说明插件生效了)

elasticsearch-http-basic和其他ES插件一样,在config/elasticsearch.yml中统一配置:


http.basic.enabled: true  #开关,开启会接管全部HTTP连接
http.basic.log: false     #把无授权的访问事件添加到ES的日志             
http.basic.user: "loguser"     #账号      
http.basic.password: "logpwd"  #密码
http.basic.ipwhitelist: ["172.16.18.171","172.16.18.114"] #白名单内的ip访问不需要通过账号和密码,支持ip和主机名,不支持ip区间或正则  
http.basic.xforward: "X-Forwarded-For" #记载代理路径的header字段名
http.basic.trusted_proxy_chains: ["172.16.18.114"] #信任代理列表


测试:
Shell
# 无账号密码,不可访问
>>> curl http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
Authentication Required
# 通过user选项带上账号密码,返回正常数据
>>> curl --user [your-admin]:[your-password] http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
{
  "count" : xxx,
  "_shards" : {
    "total" : xxx,
    "successful" : xxx,
    "failed" : 0
  }
}
添加了HTTP基本认证后,elasticsearch-head同样会弹窗要求你先进行权限认证

 

 

版权声明
本文为[HLee]所创,转载请带上原文链接,感谢
https://my.oschina.net/u/3727895/blog/4714774

Scroll to Top