Elasticsearch教程，Elasticsearch安全篇，通过Nginx http basic 限制访问 —技术博客
在线工具
技术博客
Layui文档
备案查询
HTTPS检测
免费 JSON API
JSON在线工具
JSON在线解析
JSON在线解析
JSON压缩/转义
JSON在线视图
JSON着色工具
JSON | XML互转
JSON 比对工具
JSON生成实体
JSON压缩一行
JSON转C#实体类
JSON转GO
JSON在线视图查看器
JSON Format online
JSON解析（左右）
JSON转Excel
加密 / 解密
对称加密 / MD5 / Base64 / 编码转换
加密 / 加密
散列 / 哈希
Base64加密 / 解密
图片转BASE64
进制转换
16进制 & 文本互转
URL转码
ASCII转换
UTF-8编码转换
htpasswd生成器
MD5加密/解密
迅雷URL 加密 / 解密
JavaScript 加密 / 解密 / 压缩 / 混淆 / 去注释 / 混合加密 / HTML&JS转换
JS加密/压缩/解密
JS 代码混淆
JS 不可逆加密
JS加密(16进制)
JS加密(最牛逼的加密)
JS 人工解密
JS在线解密
JS/HTML/CSS混合加密
JS / HTML互转
JS Fuck加密
JS AAEncode加密
JS JJEncode加密
压缩 / 格式化
JS/HTML格式化、压缩
CSS格式化、压缩
XML格式化、压缩
SQL格式化、压缩
JS代码混淆、加密
JS混淆加密、压缩
文档
HTTP Mime-type
HTML转义字符
RGB颜色参考
ASCII对照表
HTTP状态码详解
TCP/UDP端口参考
网页字体参考
数据对比
Java运算符
Javascript运算符
C运算符
C++运算符
PHP运算符
Python运算符
OC运算符
VB运算符
Go运算符
CSS优先级
前端
在线调色板
在线调色板(新版)
网页常用色彩
中日传统色彩
传图识色
WEB安全色
网页颜色选择器
RGB颜色值查询
图片大小修改
图片批量压缩
图片尺寸修改
图片格式转换
图片批量压缩
图片信息查看
图片EXIF信息
favicon制作
转换
汉字转拼音
简繁体|火星文转换
拼音字典
大小写转换
全角半角转换
Unix时间戳转换
HTML在线转义
IK在线分词
人民币金额大小写转换
进制转换
在线字数统计
JS / HTML互转
在线解压
条形码生成
单位换算
角度换算
时间换算
热量换算
长度换算
面积换算
速度换算
数据存储
子网掩码
功率换算
压力换算
温度换算
密度换算
力换算
体积换算
二维码工具
二维码生成器
二维码美化
二维码解码
二维码解码(Zxing)
二维码提取
二维码接口
图片转二维码
二维码知识
正则
正则测试
正则生成代码
站长工具
备案查询
HTTPS检测
公安网备查询
IP地址查询
WHOIS查询
SEO优化工具
robots文件生成
nslookup查询
短网址生成&解析
端口扫描
网站TDK查询
域名收录查询
微信拦截检测
QQ拦截检测
域名全面检测
DNS检测
HTTP相关
HTTP模拟请求
HTTP模拟请求(新版)
HTTP状态查询
我的IP地址
生活工具
日期计算器
农历/阳历转换
农历/公历转换
在线秒表
节日大全
中国传统节日
万年历
24节气查询
2022年放假
北京时间
今天农历几月几日
老黄历
吉时吉日查询
邮编查询
区号查询
油价查询
汇率查询
违章查询
垃圾分类查询
代数工具
图像工具
office工具
文本工具
导航
SOJSON
目录
博客
教程
免费API
Elasticsearch教程，Elasticsearch安全篇，通过Nginx http basic 限制访问

JSON
2017-02-10 11:24:06
82245
前言：用 Elasticsearch 的同学都知道，最近一段时间 Elasticsearch 像中毒一样全国、全世界都发生的 Elasticsearch 被删库，有的甚至被加密后敲诈比特币。当然我也难逃删库的命运，我200GB 的爬虫数据被删，我所在的公司只开放了公司IP 才能访问，也被删除了整个库。那么问题来了，我们为什么要开放外网访问Elasticsearch？无外乎以下几点原因。一些插件监听使用，方便及时了解线上数据的情况，比如说 head 插件等。为了HTTP 直接访问，有的同学考虑到通过后台TCP 查询，然后返回数据，还不如直接以Elasticsearch 作为服务直接 HTTP 查询提升效率。还有一些同学是因为Elasticsearch 和被访问的工程不在一个局域网内。。。。。等我的解决方案：我是Centos Linux 系统，我直接用 iptables 限制 IP 访问，虽然不华丽，但是明显解决了。有个弊端就是在家里由于北方的宽带 IP 老变，经常要去加IP规则，比较痛苦。但是我收到了阿里发的“【高危漏洞通告】 ElasticSearch 未授权访问漏洞”以下内容邮件：尊敬的 ser****@sojson.com：
您好,接上级主管部门通知，您的主机123.**.**.**安装有elasticsearch，目前elasticsearch有部分漏洞已被公布，存在信息泄露的隐患，请及时整改。如无法整改,经主管单位核实后，根据网络安全法的规定，会有关停主机的风险。
以下整改措施仅供参考：
一、监管部门加固方案
（一）elasticsearch自身安全设置
1、为elasticsearch增加登录验证，可以使用官方推荐的shield插件，该插件为收费插件，可试用30天，免费的可以使用elasticsearch-http-basic，searchguard插件。插件可以通过运行Biplugin install [github-name]/repo-name。同时需要注意增加验证后，请勿使用弱口令。
2、架设nginx反向代理服务器，并设置http basic认证来实现elasticsearch的登录认证。
3、默认开启的9200端口和使用的端口不对外公布，或架设内网环境。
4、elasticsearch 早期版本在“CVE中文漏洞信息库”网站上已有部分漏洞被披露，建议使用1.7.1以上版本或使用最新版本程序。
（二）大数据安全
1、设置HADOOP为基础的大数据信息系统，只允许或通过特定的IP进行访问，同时该IP地址进行安全设置（使用防病毒程序，设置复杂密码，安装最新漏洞补丁，使用应用程序防火墙等）
2、为NOSQL这类大数据数据库（如mongodb,redis）设置复杂密码
3、在大数据信息系统建设完毕后及时进行登记保护测评，并定期对该类大数据信息系统进行安全检查。
（三） 服务器安全设置
1、在服务器端安装系统防护软件，实现对操作系统加固和WEB业务系统及网站的防护监测，实现对信息系统的立体化监测和防护
2、对服务器中开启的服务（如数据库、FTP、web服务等）设置复杂密码，并定期更换，增加系统安全性
3、及时更新服务器漏洞补丁，防止漏洞被利用
4、在互联网出口设置防火墙访问策略，只允许特定需要对外访问的端口通过，其他异常访问全部阻断
5、对重要信息系统服务、数据信息、资产等进行黑白名单和权限访问设置。 所以我就按照Email内容着手去做安全。首先收费的shield 肯定是排除的，其次Elasticsearch-http-basic 也随之排除，因为没我对应的版本，详细对应版本请看下面表格：Version Mapping：
Http Basic Plugin
elasticsearch
v1.5.1(master)
1.5.1, 1.5.2, 1.6.0, 1.7.0
v1.5.0
1.5.0
v1.4.0
1.4.0
v1.3.0
1.3.0
v1.2.0
1.2.0
1.1.0
1.0.0
1.0.4
0.90.7
github地址：https://github.com/Asquera/elasticsearch-http-basic 最后选用方案是比较简单的，采用Nginx http-basic ，我是采用域名的方式访问，隐蔽了一层。Nginx Http-basic 方案步骤实施一、选用一个域名，并且配置转发。upstream es.sojson.com{
server 127.0.0.1:9981 weight=1 max_fails=2;
server 127.0.0.1:9982 weight=1 max_fails=2;
server 127.0.0.1:9983 weight=1 max_fails=2;
server 127.0.0.1:9984 weight=1 max_fails=2;
server 127.0.0.1:9985 weight=1 max_fails=2;
location ~* / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
if ($host ~* es\.sojson\.com) {
proxy_pass http://es.sojson.com;
}因为我五个点都加了插件，所以可以做个负载均衡。二、配置帐号密码访问方式。location ~* / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
#关键点，配置帐号密码
auth_basic "login";#提示信息
auth_basic_user_file /usr/local/nginx/conf/vhosts/password/es; #密码文件（注意最好别挑事，直接写绝对路径，别相对路径）
autoindex on;
if ($host ~* es\.sojson\.com) {
proxy_pass http://es.sojson.com;
}三、配置密码帐号文件。上面第二点配置中有一个auth_basic_user_file 选项，这个选项就是配置的密码访问规则。密码是采用Crypt (all Unix servers) 方式密的，本站有生成工具：https://www.sojson.com/htpasswd.html 。如下图：然后把生成的内容复制到上面配置的路径文件中/usr/local/nginx/conf/vhosts/password/es; vi /usr/local/nginx/conf/vhosts/password/es然后把生成的admin:PJdMvp0Utzclm 插入进去，保存之前看前面有没有丢了字母，我老会丢一个第一个字母，导致坑了一会。保存退出重启 Nginx 即可。四、测试访问访问之前配置好的域名es.sojson.com 。出现以下画面后输入配置好的帐号密码（明文）测试通过。五、关闭外网访问。elasticsearch$ vi config/elasticsearch.yml 然后修改部分配置，只需要配置network.host : 127.0.0.1 即可#network.publish_host: 0.0.0.0
#networt.bind_host: 0.0.0.0
#network.host: 0.0.0.0
#只要配置这个即可
network.host: 127.0.0.1
#network.publish_host: 127.0.0.1重启 Elasticsearch ，打完收工。想要更安全一点，可以再加上 iptables ，然后再加上访问频率限制，防止暴力破解。
版权所属：SO JSON在线解析
原文地址：https://www.sojson.com/blog/213.html
转载时必须以链接形式注明原始出处及本声明。
本文主题：
Elasticsearch
Elasticsearch安全
Elasticsearch教程
Nginx
iptables
如果本文对你有帮助，那么请你赞助我，让我更有激情的写下去，帮助更多的人。
￥我需要走的更远，点击我 赞助。
如果还有疑问，点击我加群，为你提供最好的解答。
关于作者 soゝso 一个低调而闷骚的男人。 文章318 收藏 18 加入时间 9.1年 相关文章 Elasticsearch教程，Elasticsearch安全篇，通过Nginx http basic 限制访问 Elasticsearch教程（五） elasticsearch Mapping的创建 Elasticsearch教程（六） elasticsearch Client创建 Elasticsearch教程 ，Elasticsearch count 查询，Elasticsearch 查询是否存在 Elasticsearch教程，Elasticsearch配置文件 — elasticsearch.yml Elasticsearch教程，Elasticsearch Java API创建Mapping，指定分词器 Elasticsearch 教程，Elasticsearch部署阿里云集群，支持外网请求方式 Elasticsearch教程（八） elasticsearch delete 删除数据（Java） Elasticsearch 教程，Elasticsearch 日期查询详解，Elasticsearch Date 查询Java API Elasticsearch教程（九） elasticsearch 查询数据 | 分页查询 最新文章 自媒体时代的贤内助——AI 视频云 2718 Golang 常见设计模式——装饰模式详细讲解 3532 Flink 在又拍云日志批处理中的实践 17058 个推异常值检测和实战应用-又拍云 4471 TCP 和 UDP协议详细讲解，优缺点分析讲解 13292 URL中乱七八糟的字符讲解，来源以及如何解决 9609 HTTP/3 来了，您真的了解它么？ 8921 当我谈 HTTP 时，我谈些什么? 14199 新浪短链（t.cn）最新申请官方API的方法讲解。 77526 QUIC / HTTP3 协议详细分析讲解 12215 最热文章 苹果电脑Mac怎么恢复出厂系统？苹果系统怎么重装系统？ 670098 最新MyEclipse8.5注册码，有效期到2020年 （已经更新） 644825 免费天气API，全国天气 JSON API接口，可以获取五天的天气预报 564577 Jackson 时间格式化，时间注解 @JsonFormat 用法、时差问题说明 528436 我为什么要选择RabbitMQ ，RabbitMQ简介，各种MQ选型对比 504304 Elasticsearch教程（四） elasticsearch head 插件安装和使用 473159 Java 信任所有SSL证书，HTTPS请求抛错，忽略证书请求完美解决 238705 Jackson 美化输出JSON，优雅的输出JSON数据，格式化输出JSON数据... ... 221188 谈谈斐讯路由器劫持，你用斐讯路由器，你需要知道的事情 216090 Elasticsearch教程（一），全程直播（小白级别） 213612 Blog` 标签查看所有标签 java json shiro elasticsearch redis Spring 搜索引擎 Maven Nosql mysql 测试 七牛 Freemarker http Javascript SEO 数据库 Junit Session HTML5 CDN 单点登录 JSON-Lib EHCache 条码查询返回 SpringMVC IE cookie Demo urlrewrite
本网站所有内容都有版权，拥有软件著作权，抄袭复制必追究到底，用法律捍卫我们的权利。
关于
关于我们
广告合作
友情链接
联系方式
i#itboy.net（# to @）
QQ:8446666
Tel:0731-85313056
赞助商
湖南唯凡网络科技有限公司 · ©2013~2022 SOJSON.COM
| JSON在线
湘ICP备19009812号-21
综合技术交流：点击加入--> [SO JSON官方交流①群][收费]
综合技术交流：点击加入--> [SO JSON官方交流②群][免费]
要求：不能发广告、暴力、政治、付费教程，违者直接踢出。
备注：入群费用5元，没有QQ钱包，可以先支付宝 or 微信扫码支付5元赞助后，我拉您进去。QQ联系我。
扫码赞助：赞助二维码。
技术交流QQ群：①群259217951，②群166848545
站长邮箱：so@sojson.com
对页面内容有任何疑问和建议，请联系我们。
所有赞助/开支都讲公开明细，用于网站维护：赞助名单查看
立即提交
查看我的收藏
正在加载... ...
加入收藏
分享
加群
赞助