هذه مشكلة تعريفية لتتبع العمل على جعل الإعدادات الحساسة آمنة في elasticsearch. تمت إضافة البنية الأساسية لهذه الميزة في # 22335 ، والتي توفر الأداة elasticsearch-keystore . لا يزال العمل التالي ضروريًا لاعتبار الميزة مكتملة:
- [x] تحويل الإعدادات الموجودة (مثل مفاتيح aws) إلى بنية تحتية جديدة
- [x] إضافة دعم كلمة المرور إلى keystore
- [x] إضافة كلمة مرور قراءة لنصوص البدء (init.d و systemd)
- [x]
تحقق من أفضل مكان لملف تخزين المفاتيح.
سيكون من الجيد امتلاك ما يلي:
- [] تحقق فقط من السماح بقراءة الإعدادات الآمنة المسجلة بواسطة المكونات الإضافية (على سبيل المثال ، عدم السماح بقراءة الإعدادات الآمنة للمكونات الأخرى)
- [x]
تحقق من إعداد خوارزمية صريحة لسير العمل على الإنترنت (PBE) - [] أضف دعمًا للمفاتيح الخاصة
- [] أضف دعمًا للشهادات
- [] أضف دعمًا لقراءة الإعدادات الآمنة من Vault بدلاً من keystore
rjernst
ال 3 كومينتر
لقد قدمت مشكلة لتغطية الميزة المحددة لكلمة المرور التي تحمي مخزن المفاتيح
https://github.com/elastic/elasticsearch/issues/32691
joshbressers
في ٧ أغسطس ٢٠١٨
أعزاء،
أنا واجهت مشكلة مع موقع elasticsearch.keystore عند استخدام مطاطا على مجموعات Kubernetes والتكوين هي التي شنت عبر ConfigMaps. نتيجة لذلك ، لدي fs "للقراءة فقط" من / etc / elasticsearch وبسبب ذلك ، فإن ES سوف ينهار.
Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
| Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
| at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
| at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
| at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
| at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
| at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
| at java.nio.file.Files.newOutputStream(Files.java:216)
| at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
| at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
| at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
| at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
| at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
| at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
| at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
| at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
| at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
| at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
| at org.elasticsearch.cli.Command.main(Command.java:90)
| at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
| at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
| Refer to the log for complete error details.
سيكون من الرائع أن يكون لديك إعدادات لموقع تخزين المفاتيح في elasticsearch.yaml لتعيين الدليل خارج / etc / elasticsearch.
هل يمكنك النصيحة في هذا الموضوع؟
شكرا لك مقدما،
pdanysz
في ١٨ مارس ٢٠١٩
أقوم بتسمية هذا team-discuss لتحديد المهام "اللطيفة" التي ما زلنا ننوي إكمالها والتي لم تكتمل بعد. بمجرد القيام بذلك ، يجب ترقيتهم إلى القضايا الفردية وإغلاق هذه المشكلة ، حيث أن الاتجاه الرئيسي لهذه المشكلة قد انتهى منذ فترة طويلة.
gwbrown
في ٤ ديسمبر ٢٠٢٠
القضايا ذات الصلة
dawi
·
3تعليقات
Praveen82
·
3تعليقات
clintongormley
·
3تعليقات
dadoonet
·
3تعليقات
jpountz
·
3تعليقات
التعليق الأكثر فائدة
أعزاء،
أنا واجهت مشكلة مع موقع elasticsearch.keystore عند استخدام مطاطا على مجموعات Kubernetes والتكوين هي التي شنت عبر ConfigMaps. نتيجة لذلك ، لدي fs "للقراءة فقط" من / etc / elasticsearch وبسبب ذلك ، فإن ES سوف ينهار.
سيكون من الرائع أن يكون لديك إعدادات لموقع تخزين المفاتيح في elasticsearch.yaml لتعيين الدليل خارج / etc / elasticsearch.
هل يمكنك النصيحة في هذا الموضوع؟
شكرا لك مقدما،