背景
在阿里云部署了一台 ElasticSearch 节点,9200 端口直接暴露在了公网下,结果三天两头受到攻击,访问 kibana 老出现 redirect 重定向问题不能访问,查看日志索引都被人删除了,所以怀疑可能是因为被人恶意删除了,由此决定使用 xpack安全组件来保护 ElasticSearch。
- ElasticSearch 默认安装后,本身不提供任何安全保障,这也是被人攻击的原因之一
- 我们为了公网可以访问,配置了 server.host 为 0.0.0.0 这也是被人攻击的原因之一
xpack
X-Pack 已经作为 Elastic 公司单独的产品线,集成了 Shield, Watcher, Marvel, Graph, 和 reporting 等安全组件,有着非常强大的功能。目前 xpack 已经默认被安装在了 7.0 以上的版本中,并且支持一些功能的免费使用,比如 用户登录权限校验等基础功能。
- 7.0 之上的版本默认安装了 xpack 组件,无需再次安装。
xpack内置的用户
| 用户 | 角色 |
|---|---|
| elastic | 超级管理员 |
| apm_system | 为 apm 创建的用户 |
| kibana | 为kinana创建的用户 |
| logstash_system | 为logstash创建的用户 |
| beats_system | 为 beats 创建的用户 |