ES(4): ES Cluster Security Settings
2017-02-23 21:37
78 查看
目录:
ES安全事件回顾
ES集群安全建议
安全访问配置
license更新
ES安全事件回顾
下面是白帽汇监测到针对全球使用广泛的全文索引引擎Elasticsearch的勒索事件:
2017年1月12日上午10时,白帽汇发现第一波勒索者,分析统计,发现共有10264台服务器已经遭受攻击,并且还一直持续增长, 攻击者会删除Elasticsearch所有索引信息,并创建一个名为warning的索引,勒索者写入需要支付0.2比特币才给受害者发送数据(目前按照比特币市场价格,约等于150美元),并留下邮箱地址p1l4t0s@sigaint.org. 该邮箱域与Mongodb勒索的作者使用的是同一个域,但id不同。据了解,此前Mongodb勒索攻击者其实并未备份数据,而是直接删除,而目前确认Elasticsearch也是一样,并未对数据进行备份,而是直接删除。不幸的是,我们ES测试集群的数据也被干掉了:(
2017年1月14日中午12时,白帽汇发现第二波勒索者,创建一个名为please_read名字的索引。攻击者留下类似的文字,该勒索信息显示需要支付0.5比特币(按照当天比特币市场价格,约等于400美元)。邮箱elasticsearch@mail2tor.com
2017年1月16日中午12时,白帽汇发现第三波勒索者,其创建的索引为pleasereadthis.使用的邮箱地址为4rc0s@sigaint.org
影响范围:截止2017年1月17日,白帽汇通过FOFA系统中的68000余个Elasticsearch进行统计分析,发现目前全球共有9750台存在勒索信息。其中此次被删除的数据达到至少500亿条,被删除数据大小至少450TB。通过两次勒索情况的对比分析,发现有大概1%的Elasticsearch使用了验证插件,另外有2%则关闭Elasticsearch,现在已经无法访问。
白帽汇FOFA系统中显示,互联网上公开可访问的Elasticsearch超过68000余台。其中,共有受害总数9750台, 目前全球中受影响最多的为美国4380台,其次是中国第二944台。法国787台,爱尔兰462台,新加坡418台。
es集群会收到的攻击通常包含:1、通过es暴露的公网端口进行攻击 2、通过主机服务器进行攻击 3、与ES配合的其它产品,如Logstash,Kibana
综上所述:2017.1.12号开始全球ES变攻击,巧合的是1.14号ES发布5.2.1, 日.......
ES集群安全建议
network监听地址(network.host)改为内网IP
修改默认访问端口 , 【http.port: 9200 (设置对外服务的http端口,默认为9200),transport.tcp.port: 9300 (设置节点间交互的tcp端口,默认是9300)】
es集群放到专有网络,限制外网访问
禁用http (http.enabled : false), 【http.enabled:是否使用http协议对外提供服务,默认为true,开启】,kibana通过rest访问es进行数据展示,禁用此配置相当于停止rest访问,因此根据实际情况进行处理
增加访问验证,5.0以前版本官方推荐并且经过认证的是shield插件,该项目为收费项目,可以试用30天。网络中也有免费的插件,可以使用elasticsearch-http-basic,searchguard插件。5.0+版本对原本的watch,alert做了一个封装,形成了x-pack
安全访问配置
x-pack是elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,虽然x-pack被设计为一个无缝的工作,但是可轻松的启用或者关闭一些功能
修改elasticsearch.yml 配置文件,设置: xpack.security.enabled: true
修改kibana.yml配置文件,设置: xpack.security.enabled: true
同时设置kibana访问ES集群的用户名和密码(x-pack安装之后有一个超级用户elastic ,其默认的密码是changeme,拥有对所有索引和数据的控制权,可以使用该用户创建和修改其他用户),如下:
重启ES、kibana服务,访问ES时会让你输入密码,如下图:
同样,在登陆kibana时,也会提示用户和密码信息,如下图:
可以通过kibana的web界面进行用户和用户组的管理,如下创建新用户等
license更新
安装完成后,默认情况下,x-pack插件license有效期为一个月,通过如下命令: curl -XGET -u elastic:changeme 'http://10.0.0.5:12000/_xpack/license'
注册用户获取基础license,有效期1年, 注册地址:https://register.elastic.co/xpack_register
申请得到的json文件后,更新license命令:curl -XPUT -u elastic:password 'http://<host>:<port>/_xpack/license' -d @license.json
@license.json 申请得到的json文件,复制文件中的所有内容,粘贴在此
如果提示需要acknowledge,则设置为true,如下:curl -XPUT -u elastic:password 'http://<host>:<port>/_xpack/license?acknowledge=true' -d @license.json
参考文档:https://www.elastic.co/guide/en/x-pack/current/installing-license.html
其它license 参见:https://www.elastic.co/subscriptions#request-info
ES安全事件回顾
ES集群安全建议
安全访问配置
license更新
ES安全事件回顾
下面是白帽汇监测到针对全球使用广泛的全文索引引擎Elasticsearch的勒索事件:
2017年1月12日上午10时,白帽汇发现第一波勒索者,分析统计,发现共有10264台服务器已经遭受攻击,并且还一直持续增长, 攻击者会删除Elasticsearch所有索引信息,并创建一个名为warning的索引,勒索者写入需要支付0.2比特币才给受害者发送数据(目前按照比特币市场价格,约等于150美元),并留下邮箱地址p1l4t0s@sigaint.org. 该邮箱域与Mongodb勒索的作者使用的是同一个域,但id不同。据了解,此前Mongodb勒索攻击者其实并未备份数据,而是直接删除,而目前确认Elasticsearch也是一样,并未对数据进行备份,而是直接删除。不幸的是,我们ES测试集群的数据也被干掉了:(
2017年1月14日中午12时,白帽汇发现第二波勒索者,创建一个名为please_read名字的索引。攻击者留下类似的文字,该勒索信息显示需要支付0.5比特币(按照当天比特币市场价格,约等于400美元)。邮箱elasticsearch@mail2tor.com
2017年1月16日中午12时,白帽汇发现第三波勒索者,其创建的索引为pleasereadthis.使用的邮箱地址为4rc0s@sigaint.org
影响范围:截止2017年1月17日,白帽汇通过FOFA系统中的68000余个Elasticsearch进行统计分析,发现目前全球共有9750台存在勒索信息。其中此次被删除的数据达到至少500亿条,被删除数据大小至少450TB。通过两次勒索情况的对比分析,发现有大概1%的Elasticsearch使用了验证插件,另外有2%则关闭Elasticsearch,现在已经无法访问。
白帽汇FOFA系统中显示,互联网上公开可访问的Elasticsearch超过68000余台。其中,共有受害总数9750台, 目前全球中受影响最多的为美国4380台,其次是中国第二944台。法国787台,爱尔兰462台,新加坡418台。
es集群会收到的攻击通常包含:1、通过es暴露的公网端口进行攻击 2、通过主机服务器进行攻击 3、与ES配合的其它产品,如Logstash,Kibana
综上所述:2017.1.12号开始全球ES变攻击,巧合的是1.14号ES发布5.2.1, 日.......
ES集群安全建议
network监听地址(network.host)改为内网IP
修改默认访问端口 , 【http.port: 9200 (设置对外服务的http端口,默认为9200),transport.tcp.port: 9300 (设置节点间交互的tcp端口,默认是9300)】
es集群放到专有网络,限制外网访问
禁用http (http.enabled : false), 【http.enabled:是否使用http协议对外提供服务,默认为true,开启】,kibana通过rest访问es进行数据展示,禁用此配置相当于停止rest访问,因此根据实际情况进行处理
增加访问验证,5.0以前版本官方推荐并且经过认证的是shield插件,该项目为收费项目,可以试用30天。网络中也有免费的插件,可以使用elasticsearch-http-basic,searchguard插件。5.0+版本对原本的watch,alert做了一个封装,形成了x-pack
安全访问配置
x-pack是elasticsearch的一个扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中,虽然x-pack被设计为一个无缝的工作,但是可轻松的启用或者关闭一些功能
修改elasticsearch.yml 配置文件,设置: xpack.security.enabled: true
修改kibana.yml配置文件,设置: xpack.security.enabled: true
同时设置kibana访问ES集群的用户名和密码(x-pack安装之后有一个超级用户elastic ,其默认的密码是changeme,拥有对所有索引和数据的控制权,可以使用该用户创建和修改其他用户),如下:
重启ES、kibana服务,访问ES时会让你输入密码,如下图:
同样,在登陆kibana时,也会提示用户和密码信息,如下图:
可以通过kibana的web界面进行用户和用户组的管理,如下创建新用户等
license更新
安装完成后,默认情况下,x-pack插件license有效期为一个月,通过如下命令: curl -XGET -u elastic:changeme 'http://10.0.0.5:12000/_xpack/license'
注册用户获取基础license,有效期1年, 注册地址:https://register.elastic.co/xpack_register
申请得到的json文件后,更新license命令:curl -XPUT -u elastic:password 'http://<host>:<port>/_xpack/license' -d @license.json
@license.json 申请得到的json文件,复制文件中的所有内容,粘贴在此
如果提示需要acknowledge,则设置为true,如下:curl -XPUT -u elastic:password 'http://<host>:<port>/_xpack/license?acknowledge=true' -d @license.json
参考文档:https://www.elastic.co/guide/en/x-pack/current/installing-license.html
其它license 参见:https://www.elastic.co/subscriptions#request-info
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ES(5): ES Cluster modules settings
- Elasticsearch之重要核心概念(cluster(集群)、shards(分配)、replicas(索引副本)、recovery(据恢复或叫数据重新分布)、gateway(es索引的持久化存储方式)、discovery.zen(es的自动发现节点机制机制)、Transport(内部节点或集群与客户端的交互方式)、settings(修改索引库默认配置)和mappings)
- Enable VT-x in your BIOS security settings (refer to document for your computer)
- How to resolve "your security settings have blocked an untrusted application from running" in Mac
- App Transport Security Settings----xcode https协议
- for your security, some settings are controlled by your system administrator (windows 10)
- Mysql安装错误apply security settings ,出现 connection error Error1045
- java.lang.SecurityException: No permission to write APN settings问题的定位小结
- How to resolve "your security settings have blocked an untrusted application from running" in Mac
- How to reset security settings back to the defaults
- ES权威指南[官方文档学习笔记]-21 - an empty cluster
- java.lang.SecurityException: Package com.android.settings does not belong to 1001
- mysql重装时报错:last error unable to update security settings. access denied for user ‘root’ @ ‘localh
- the security settings could not be applied to the database
- How to resolve "your security settings have blocked an untrusted application from running
- mysql5.4 start service 、apply security settings 报错
- IE "Your current security settings put your computer at risk. Click h
- ES权威指南[官方文档学习笔记]-20 Life inside a Cluster
- windows 2003下 mysql安装时 MySQL Apply Security Settings安装不成功的解决方案
- Android Studio:Enable VT-x in your BIOS security settings (refer to document for your computer)