保护 logstash 和 elasticsearch 的安全

保护 logstash 和 elasticsearch 的安全

我正在考虑在我的生产服务器上运行 logstash(简单安装)。http://logstash.net/docs/1.1.13/tutorials/getting-started-simple) 并设置 kibana 来访问日志。

我担心的是:如何保护我的生产日志(尤其是由 logstash 运行的 elasticsearch),并限制对安全区域或某些 ips 的访问?

感谢您的帮助

答案1

如果您使用更高版本的 Logstash基巴纳

我将 Kibana 部署到 Apache 中的虚拟主机中,/kibana/并通过反向代理路由 Elasticsearch API,以便在以下位置可用/elasticsearch/

<Location /elasticsearch/>
    ProxyPass http://elasticsearchhost:9200/
    ProxyPassReverse /
</Location>

您需要调整 Kibanas config.js 以

elasticsearch: "/elasticsearch/",

然后,可以通过 HTTP 基本身份验证保护虚拟主机,该身份验证自动应用于 Kibana 和 Elasticsearch API。

让我担心的是,Kibana 的用户还可以使用 Elasticsearch API 做一些恶意的事情,比如删除索引、关闭 Elasticsearch 服务器等等 - 例如elasticsearch 头。但目前我还没有很好的解决方案。也许可以允许对 /elasticsearch/ 进行 GET,因为在 REST 中 GET 无法更改任何内容,但其他 HTTP 方法只能对 Kibana 重要的特定 URL 进行更改。

答案2

在我的环境中,我将 elasticsearch 绑定到 openvpn 接口。

在 /etc/elasticsearch/elasticsearch.yml 中:

network.host: 172.16.xxx.xxx

其中172.16.xxx.xxx是openvpn分配给服务器的IP地址。

答案3

使用像这里所说的 nginx:

我该如何确保安全?我不想让 9200 保持开放。答:可以在以下位置找到简单的 nginx 虚拟主机和代理配置 样本/nginx.conf

关联:https://github.com/elasticsearch/kibana

相关内容