ELK的安全加固

一、配置ELK的安全認證功能

ELK支持安全認證功能,但是需要安裝xpack插件。我在做認證測試時,發現ELK在6.3版本默認已經安裝了xpack插件,在6.3之前的版本還是需要手動安裝xpack軟件。因為我測試環境是使用ELK 6.3.1搭建的,因此不需要手動安裝xpack插件,所以此處就不在演示安裝xpack了。
相關ELK系統的搭建可參考:http://www.lxweimin.com/p/bc6b0e329978
ps:xpack插件是要收費的,不過官方提供一段時間的免費試用,有興趣研究的可以到官網申請或登錄kibana界面點擊試用,當然也可以弄個破解版嘿嘿嘿。
系統版本:Centos 6.9
ELK版本:6.3.1

1、配置啟用elasticsearch的安全認證

首先,修改elasticsearch的配置文件:

[root@ES ~]# vim /etc/elasticsearch/elasticsearch.yml 
xpack.security.enabled: true      #在配置中添加此參數,開啟安全認證功能

接著修改elastic和kibana用戶的密碼:

#修改elastic用戶的密碼
curl -XPUT -u elastic '10.10.10.6:9200/_xpack/security/user/elastic/_password' -d '{
  "password" : "123456"
}'

#修改kibana用戶的密碼
curl -XPUT -u elastic '10.10.10.6:9200/_xpack/security/user/kibana/_password' -d '{
  "password" : "123456"
}'

修改完后,重啟elasticsearch服務進程,接著你應該就會發現kibana和logstash 無法連接上elasticsearch了,這是因為它們還沒有配置認證。

2、配置kibana與elasticsearch的認證信息

修改/etc/kibana/kibana.yml文件:

[root@ES ~]# vim /etc/kibana/kibana.yml
#配置用于與elasticsearch做認證的賬號密碼
elasticsearch.username: "kibana"
elasticsearch.password: "123456"

然后重啟kibana服務

3、配置logstash認證信息

首先登錄kibana,在Dev Tools處執行下述命令創建logstash權限role和用戶:

#創建logstash role權限
POST _xpack/security/role/logstash_writer
{
  "cluster": ["manage_index_templates", "monitor"],
  "indices": [
    {
      "names": [ "logstash-*","business-index-*"], 
      "privileges": ["write","delete","create_index"]
    }
  ]
}

#創建logstash_用戶
POST /_xpack/security/user/logstash_internal
{
  "password" : "changeme",
  "roles" : [ "logstash_writer"],
  "full_name" : "Internal Logstash User"
}

接著在logstash服務器上修改其配置文件:

[root@logstash ~]# vim /etc/logstash/conf.d/test.conf
output {
        if [type] == "nginx" {
                elasticsearch {
                        hosts => "10.10.10.6:9200"
                        index => "logstash-testlog"
                        user => logstash_internal      #配置logstash與elasticsearch認證的賬號
                        password => "123456"    配置logstash與elasticsearch認證的密碼
        }       }
}

最后重啟logstash服務即可。

此時使用此前修改密碼的用戶elastic和kibana 即可登錄kibana界面進行管理監控,并可以通過在kibana界面的Management中管理創建用戶和用戶的權限。

二、配置filebeat和logstash的安全傳輸

默認情況下filebeat和logstash之前的傳輸是不加密的,但是我們可以通過配置SSL來使用filebeat和logstash之前的日志傳輸更加安全可靠。

1、創建SSL證書

首先需要分別在logstash和filebeat端創建其SSL證書和密鑰。
修改filebeat端的/etc/pki/tls/openssl.cnf文件:

[root@web ~]# vim /etc/pki/tls/openssl.cnf 
[ v3_ca ]

subjectAltName = IP:10.10.10.8    #添加此參數,配置為當前filebeat所在的服務器IP

創建filebeat端的證書和密鑰:

[root@web ~]# openssl req -subj '/CN=10.10.10.8/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/filebeat.key -out /etc/pki/tls/certs/filebeat.crt

創建完成后,將生成的證書scp到logstash服務器相應的證書和密鑰目錄下:

[root@web ~]# scp /etc/pki/tls/private/filebeat.key 10.10.10.7:/etc/pki/tls/private/
[root@web ~]# scp /etc/pki/tls/certs/filebeat.crt 10.10.10.7:/etc/pki/tls/certs/

接著配置logstash端的證書,修改/etc/pki/tls/openssl.cnf:

[root@logstash ~]# vim /etc/pki/tls/openssl.cnf 
[ v3_ca ]

subjectAltName = IP:10.10.10.7

創建證書和密鑰:

[root@logstash ~]#  openssl req -subj '/CN=10.10.10.7/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/logstash.key -out /etc/pki/tls/certs/logstash.crt

最后跟filebeat 一樣,將logstash的證書和密鑰復雜到filebeat服務器的對應的目錄下。

2、修改啟用filebeat的ssl加密配置

配置filebeat.yml文件:

[root@web ~]# vim /etc/filebeat/filebeat.yml 
output.logstash:
  hosts: ["10.10.10.7:5044"]
  ssl.certificate_authorities: ["/etc/pki/tls/certs/logstash.crt"]    #配置logstash端傳來的證書存放路徑
  ssl.certificate: "/etc/pki/tls/certs/filebeat.crt"    #配置filebeat生成的證書路徑
  ssl.key: "/etc/pki/tls/private/filebeat.key"    #配置filebeat生成的密鑰路徑

配置完成后重啟filebeat服務即可

3、修改啟用logstash的ssl加密配置

配置logstash的配置文件:

[root@logstash ~]# vim /etc/logstash/conf.d/test.conf
input {
        beats {
                port => 5044
                type => "nginx"
                ssl => true
                ssl_certificate_authorities => ["/etc/pki/tls/certs/filebeat.crt"]    #配置filebeat端傳來的證書存放路徑
                ssl_certificate => "/etc/pki/tls/certs/logstash.crt"    #配置logstash生成的證書存放路徑
                ssl_key => "/etc/pki/tls/private/logstash.key"    #配置logstash生成的密鑰存放路徑
                ssl_verify_mode => "force_peer"    #配置SSL認證模式,force_peer強制要求對端進行證書認證。
        }
}

修改完成后重啟logstash服務。

待filebeat和logstash均配置重啟完成后,此時filebeat和logstash的傳輸已經經過ssl安全加固了。

三、配置Kibana的https訪問

1、創建Kibana的ssl 證書

[root@ES ~]#  openssl req -subj '/CN=10.10.10.6/' -x509 -days $((100 * 365)) -batch -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/kibana.key -out /etc/pki/tls/certs/kibana.crt

2、修改Kibana的配置文件

[root@ES ~]# vim /etc/kibana/kibana.yml
server.ssl.enabled: true    #啟動https訪問
server.ssl.certificate: /etc/pki/tls/certs/kibana.crt    #配置證書存放路徑
server.ssl.key: /etc/pki/tls/private/kibana.key    #配置證書密鑰存放路徑

修改完成后,重啟kibana服務即可。

https訪問
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容