Elasticsearch: Sichere Einstellungen
Dies ist ein Metaproblem, um die Arbeit an der Sicherung sensibler Einstellungen in Elasticsearch zu verfolgen. Die Kerninfrastruktur für diese Funktion wird in #22335 hinzugefügt, das das Tool elasticsearch-keystore bereitstellt. Die folgenden Arbeiten sind noch erforderlich, um das Feature als abgeschlossen zu betrachten:
- [x] Konvertieren Sie vorhandene Einstellungen (z. B. AWS-Schlüssel) in neue Infrastruktur
- [x] Passwortunterstützung zum Schlüsselspeicher hinzufügen
- [x] Lesepasswort für Startskripte hinzufügen (init.d und systemd)
- [x]
Untersuchen Sie den besten Speicherort für die Keystore-Datei.
Folgendes wäre nice to have:
- [ ] Untersuchen Sie nur das Lesen sicherer Einstellungen, die von Plugins registriert wurden (z. B. das Lesen der sicheren Einstellungen anderer Plugins nicht zulassen)
- [x ]
Einstellung des expliziten Algorithmus für PBE untersuchen - [ ] Unterstützung für private Schlüssel hinzufügen
- [ ] Unterstützung für Zertifikate hinzufügen
- [ ] Fügen Sie Unterstützung hinzu, um sichere Einstellungen aus Vault statt aus dem Schlüsselspeicher zu lesen
rjernst
Alle 3 Kommentare
Ich habe ein Problem eingereicht, um die spezifische Funktion des Passwortschutzes des Schlüsselspeichers abzudecken
https://github.com/elastic/elasticsearch/issues/32691
joshbressers
am 7. Aug. 2018
Lieber S,
Ich konfrontiert ein Problem mit elasticsearch.keystore Lage bei der Verwendung von Elastic auf Kubernetes Cluster und Konfiguration werden über ConfigMaps montiert. Aus diesem Grund habe ich "schreibgeschützte" fs von /etc/elasticsearch und deshalb wird ES abstürzen.
Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
| Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
| at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
| at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
| at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
| at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
| at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
| at java.nio.file.Files.newOutputStream(Files.java:216)
| at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
| at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
| at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
| at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
| at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
| at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
| at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
| at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
| at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
| at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
| at org.elasticsearch.cli.Command.main(Command.java:90)
| at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
| at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
| Refer to the log for complete error details.
Es ist großartig, Einstellungen für den Speicherort des Schlüsselspeichers in elasticsearch.yaml zu haben, um ein Verzeichnis außerhalb von /etc/elasticsearch festzulegen.
Können Sie zu diesem Thema Ratschläge geben?
Danke im Voraus,
pdanysz
am 18. März 2019
Ich bezeichne dies mit team-discuss um festzustellen, welche der noch nicht abgeschlossenen "nice to have"-Aufgaben wir noch erledigen wollen. Sobald wir dies tun, sollten sie zu einzelnen Themen befördert und diese Ausgabe abgeschlossen werden, da der Schwerpunkt dieser Ausgabe längst abgeschlossen ist.
gwbrown
am 4. Dez. 2020
Verwandte Themen
clintongormley
·
3Kommentare
mayyamus
·
3Kommentare
ttaranov
·
3Kommentare
abrahamduran
·
3Kommentare
abtpst
·
3Kommentare
Hilfreichster Kommentar
Lieber S,
Ich konfrontiert ein Problem mit elasticsearch.keystore Lage bei der Verwendung von Elastic auf Kubernetes Cluster und Konfiguration werden über ConfigMaps montiert. Aus diesem Grund habe ich "schreibgeschützte" fs von /etc/elasticsearch und deshalb wird ES abstürzen.
Es ist großartig, Einstellungen für den Speicherort des Schlüsselspeichers in elasticsearch.yaml zu haben, um ein Verzeichnis außerhalb von /etc/elasticsearch festzulegen.
Können Sie zu diesem Thema Ratschläge geben?
Danke im Voraus,