为ElasticSearch添加HTTP基本认证
2016-03-10 16:05
627 查看
ES的HTTP连接没有提供任何的权限控制措施,一旦部署在公共网络就容易有数据泄露的风险,尤其是加上类似elasticsearch-head这样友好的前端界面,简直让你的数据瞬间裸奔在黑客的眼皮底下。项目上线前做十万伏特的防护当然不现实,但至少,我们不要裸奔,穿一套比基尼吧。而做一个简单的HTTP认证并不需要从头造轮子,elasticsearch-http-basic就提供了针对ES HTTP连接的IP白名单、密码权限和信任代理功能。
插件的安装步骤如下:
从elasticsearch-http-basic的发布版下载对应版本的jar包
重启ES进程
验证插件是否生效:
添加了HTTP基本认证后,
http://segmentfault.com/a/1190000002803609
安装
elasticsearch-http-basic还不支持ES标准的bin/plugin install [github-name]/[repo-name]的安装方式,但作者有提供编译好的jar包,不需要下载源码重新编译。GitHub上目前的最新版本是对应ES的1.4.0版本,但验证过1.5.2也是同样可用的。
插件的安装步骤如下:
从elasticsearch-http-basic的发布版下载对应版本的jar包
mkdir -p plugins/http-basic; mv elasticsearch-http-basic-x.x.x.jar plugins/http-basic(注意文件夹的名称)
重启ES进程
验证插件是否生效:
curl localhost:9200/_nodes/[your-node-name]/plugins?pretty=true(如果看到
plugins列表包含有
http-basic-server-plugin就说明插件生效了)
配置
elasticsearch-http-basic和其他ES插件一样,在config/elasticsearch.yml中统一配置:
http.basic.enabled | true | 开关,开启会接管全部HTTP连接 |
http.basic.user | "admin" | 账号 |
http.basic.password | "admin_pw" | 密码 |
http.basic.ipwhitelist | ["localhost", "127.0.0.1"] | 白名单内的ip访问不需要通过账号和密码,支持ip和主机名,不支持ip区间或正则 |
http.basic.trusted_proxy_chains | [] | 信任代理列表 |
http.basic.log | false | 把无授权的访问事件添加到ES的日志 |
http.basic.xforward | "" | 记载代理路径的header字段名 |
测试
Shell# 无账号密码,不可访问 >>> curl http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true Authentication Required # 通过user选项带上账号密码,返回正常数据 >>> curl --user [your-admin]:[your-password] http://[your-node-name]:[your-port]/[your-index]/_count?pretty=true { "count" : xxx, "_shards" : { "total" : xxx, "successful" : xxx, "failed" : 0 } }
添加了HTTP基本认证后,
elasticsearch-head同样会弹窗要求你先进行权限认证
Python
ES官方的Python客户端可以通过http_auth配置账号密码:
from elasticsearch import Elasticsearch es = Elasticsearch(['localhost'], http_auth=('your-admin', 'your-password'), port=...)
http://segmentfault.com/a/1190000002803609
相关文章推荐
- jdk6 HttpServer的使用
- HttpClient4.3 例子
- HttpClient4.3教程 第二章 连接管理
- httpclient htmlunit selenium
- jdk http server test
- 转:Java中用HttpsURLConnection访问Https链接的问题
- Java网络编程之JavaMail发送邮件和接受邮件
- 简约之美Jodd-http--应用一箩筐
- http header 详解
- HTTP 断点续传
- Nginx 的 TCP 负载均衡介绍
- 用Apache HttpClient实现URL重定向
- TCP/IP,http,socket,长连接,短连接
- HTTP 断点续传
- 简约之美Jodd-http--深入源码理解http协议
- HttpClient连接池的三篇文章
- httpclient http连接池 源码阅读
- httpclient post 中文问题
- htmlunit 模拟登陆 https
- 使用HttpClient发送Post Http请求