Elasticsearch shield权限管理详解
2017-02-13 13:53
369 查看
ElasticSearch本身没有权限管理模块,只要获取服务器的地址和端口,任何人都可以随意读写ElasticSearch的API并获取数据,这样非常不安全。如果获取了ES的访问IP和端口,一条命令就可以删除整个索引库。好在Elastic公司开发了安全插件shield来解决权限管理问题. https://www.elastic.co/products/shield
2
1
2
第二步:重启Elasticsearch
1
第三步:添加管理员
1
adminName是可以自定义的,执行该命令以后会提示输入密码,再次输入密码进行确认,之后管理员用户就添加成功了。
再访问ES服务器中的数据就需要密码验证了.在终端中执行之前的命令试一下:
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
报安全异常,这时候需要把-u 管理员名称加到命令中,截图方便理解:
加入权限以后,在终端中每次执行操作都需要加参数并输入正确的密码。
在浏览器中访问ES同样需要验证:
加入权限管理以后在Java Api中需要做修改:
第一步:加入jar包
直接导入
到elasticsearch-2.3.3/plugins/shield目录下拷贝shield-2.3.3.jar,加到CLASSPATH中.
或者maven导入
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
第二步:修改setting:
2
3
4
5
6
7
8
1
2
3
4
5
6
7
8
第三步:修改client
2
3
4
5
1
2
3
4
5
1
回车后输入两次密码确认
Enter new password:
Retype new password:
1
会列出当前所有的user和角色:
2
1
2
给用户名为bropen的管理员修改密码:
1
回车后输入两次密码确认
2
3
1
2
3
./elasticsearch-2.3.3/bin/shield/esusers userdel bropen
查看所有可用命令:
1
如果在head中出现cluster health: not connected的情况,如下图:
可以查看当前用户是不是管理员角色:
1
给名为bropen的管理员添加角色:
1
官网关于Shield的Java api说明:
https://www.elastic.co/guide/en/shield/current/_using_elasticsearch_java_clients_with_shield.html
Shield参考手册
https://www.elastic.co/guide/en/shield/current/index.html
2016年9月23日更新:
在stackoverflow上问的大神说Shield插件是收费软件,免费试用1一个月,需要购买license才能继续使用。后来发现shield插件简单的接口可以一直使用,高级功能需要付费后使用。
转载地址:
http://blog.csdn.net/napoay/article/details/52201558
一、shield安装
bin/plugin install license bin/plugin install shield1
2
1
2
第二步:重启Elasticsearch
bin/elasticsearch1
1
第三步:添加管理员
bin/shield/esusers useradd adminName -r admin1
1
adminName是可以自定义的,执行该命令以后会提示输入密码,再次输入密码进行确认,之后管理员用户就添加成功了。
再访问ES服务器中的数据就需要密码验证了.在终端中执行之前的命令试一下:
curl -XGET "http://192.168.0.224:9200/blog/article/1?pretty"
{
"error" : {
"root_cause" : [ {
"type" : "security_exception",
"reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
"header" : {
"WWW-Authenticate" : "Basic realm=\"shield\""
}
} ],
"type" : "security_exception",
"reason" : "missing authentication token for REST request [/blog/article/1?pretty]",
"header" : {
"WWW-Authenticate" : "Basic realm=\"shield\""
}
},
"status" : 401
}12
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
报安全异常,这时候需要把-u 管理员名称加到命令中,截图方便理解:
加入权限以后,在终端中每次执行操作都需要加参数并输入正确的密码。
在浏览器中访问ES同样需要验证:
二、Java Api中使用shield
加入权限管理以后在Java Api中需要做修改:第一步:加入jar包
直接导入
到elasticsearch-2.3.3/plugins/shield目录下拷贝shield-2.3.3.jar,加到CLASSPATH中.
或者maven导入
<project ...> <repositories> <!-- add the elasticsearch repo --> <repository> <id>elasticsearch-releases</id> <url>https://maven.elasticsearch.org/releases</url> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>false</enabled> </snapshots> </repository> ... </repositories> ... <dependencies> <!-- add the shield jar as a dependency --> <dependency> <groupId>org.elasticsearch.plugin</groupId> <artifactId>shield</artifactId> <version>2.2.0</version> </dependency> ... </dependencies> ... </project>1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
第二步:修改setting:
import org.elasticsearch.shield.ShieldPlugin;
Settings settings = Settings.settingsBuilder()
.put("cluster.name", "bropen")
.put("shield.user","bropen:password")
.build();12
3
4
5
6
7
8
1
2
3
4
5
6
7
8
第三步:修改client
Client client = TransportClient.builder()
.addPlugin(ShieldPlugin.class)
.settings(settings).build()
.addTransportAddress(new
InetSocketTransportAddress(InetAddress.getByName("192.168.0.224"), 9300));12
3
4
5
1
2
3
4
5
三、shield 用户管理
3.1 新增用户
./elasticsearch-2.3.3/bin/shield/esusers useradd bropen1
1
回车后输入两次密码确认
Enter new password:
Retype new password:
3.2 查看用户
./elasticsearch-2.3.3/bin/shield/esusers list1
1
会列出当前所有的user和角色:
es_admin : admin bropen : admin1
2
1
2
3.3 修改密码
给用户名为bropen的管理员修改密码:./elasticsearch-2.3.3/bin/shield/esusers passwd bropen1
1
回车后输入两次密码确认
Enter new password: Retype new password:1
2
3
1
2
3
3.4 删除用户
./elasticsearch-2.3.3/bin/shield/esusers userdel bropen查看所有可用命令:
./elasticsearch-2.3.3/bin/shield/esusers -h1
1
如果在head中出现cluster health: not connected的情况,如下图:
可以查看当前用户是不是管理员角色:
./elasticsearch-2.3.3/bin/shield/esusers list1
1
给名为bropen的管理员添加角色:
./elasticsearch-2.3.3/bin/shield/esusers roles bropen -a admin1
1
官网关于Shield的Java api说明:
https://www.elastic.co/guide/en/shield/current/_using_elasticsearch_java_clients_with_shield.html
Shield参考手册
https://www.elastic.co/guide/en/shield/current/index.html
2016年9月23日更新:
在stackoverflow上问的大神说Shield插件是收费软件,免费试用1一个月,需要购买license才能继续使用。后来发现shield插件简单的接口可以一直使用,高级功能需要付费后使用。
转载地址:
http://blog.csdn.net/napoay/article/details/52201558
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Elasticsearch shield权限管理详解
- Elasticsearch shield权限管理详解
- Elasticsearch之shield(权限)插件安装之后的浏览详解
- oracle用户权限、角色管理详解
- 企业项目权限管理设计思路详解
- oracle用户权限、角色管理详解
- mac os x文件夹权限管理方法详解,配合终端terminal语法详述
- linux权限管理之su与 sudo详解___username is not in the sudoers file
- Linux文件权限与目录管理详解
- mac下配置svn服务器详解及用户的权限管理(亲测)
- 2.详解SecurityManager(shiro权限管理门面)
- MySQL用户权限管理详解
- linux下oracle用户、权限与角色管理详解
- Oracle权限管理详解、授权
- Oracle权限管理详解、授权
- MySQL用户、[表库字段]权限、管理及查询缓存详解
- Linux常用命令详解之权限管理命令
- linux权限管理之su与 sudo详解___username is not in the sudoers file
- oracle用户权限管理使用详解
- 使用Shield保护ElasticSearch平台--兼权限控制