为ElasticSearch添加HTTP基本认证

时间 2019-11-09

原文原文链接

ES的HTTP链接没有提供任何的权限控制措施，一旦部署在公共网络就容易有数据泄露的风险，尤为是加上相似elasticsearch-head这样友好的前端界面，简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前作十万伏特的防御固然不现实，但至少，咱们不要裸奔，穿一套比基尼吧。而作一个简单的HTTP认证并不须要从头造轮子，elasticsearch-http-basic就提供了针对ES HTTP链接的IP白名单、密码权限和信任代理功能。
前端

安装

elasticsearch-http-basic还不支持ES标准的bin/plugin install [github-name]/[repo-name]的安装方式，但做者有提供编译好的jar包，不须要下载源码从新编译。GitHub上目前的最新版本是对应ES的1.4.0版本，但验证过1.5.2也是一样可用的。node

插件的安装步骤以下：python

从elasticsearch-http-basic的发布版下载对应版本的jar包
mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic（注意文件夹的名称）
重启ES进程
验证插件是否生效：curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true（若是看到plugins列表包含有http-basic-server-plugin就说明插件生效了）

配置

elasticsearch-http-basic和其余ES插件同样，在config/elasticsearch.yml中统一配置：git

配置名	默认值	说明
http.basic.enabled	true	开关，开启会接管所有HTTP链接
http.basic.user	"admin"	帐号
http.basic.password	"admin_pw"	密码
http.basic.ipwhitelist	["localhost", "127.0.0.1"]	白名单内的ip访问不须要经过帐号和密码，支持ip和主机名，不支持ip区间或正则
http.basic.trusted_proxy_chains	[]	信任代理列表
http.basic.log	false	把无受权的访问事件添加到ES的日志
http.basic.xforward	""	记载代理路径的header字段名

测试

Shell

# 无帐号密码，不可访问
>>> curl http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
Authentication Required
# 经过user选项带上帐号密码，返回正常数据
>>> curl --user [your-admin]:[your-password] http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true
{
  "count" : xxx,
  "_shards" : {
    "total" : xxx,
    "successful" : xxx,
    "failed" : 0
  }
}

添加了HTTP基本认证后，elasticsearch-head一样会弹窗要求你先进行权限认证

Python

ES官方的Python客户端能够经过http_auth配置帐号密码：github

pythonfrom elasticsearch import Elasticsearch
es = Elasticsearch(['localhost'], http_auth=('your-admin', 'your-password'), port=...)

来自：建造者说网络