Elasticsearch: Pengaturan Aman

Dibuat pada 6 Jan 2017 · 3Komentar · Sumber: elastic/elasticsearch

Ini adalah masalah meta untuk melacak pekerjaan membuat pengaturan sensitif aman di elasticsearch. Infrastruktur inti untuk fitur ini ditambahkan di #22335, yang menyediakan alat elasticsearch-keystore . Pekerjaan berikut masih diperlukan untuk mempertimbangkan fitur yang lengkap:

[x] Ubah pengaturan yang ada (misalnya kunci aws) ke infrastruktur baru
[x] Tambahkan dukungan kata sandi ke keystore
[x] Tambahkan kata sandi membaca untuk skrip awal (init.d dan systemd)
[x] ~~Selidiki lokasi terbaik untuk file keystore.~~

Berikut ini akan menyenangkan untuk dimiliki:

[ ] Selidiki hanya mengizinkan membaca pengaturan aman yang didaftarkan oleh plugin (misalnya tidak mengizinkan membaca pengaturan aman plugin lain)
[x ] ~~Selidiki pengaturan algoritma eksplisit untuk PBE~~
[ ] Tambahkan dukungan untuk kunci pribadi
[ ] Tambahkan dukungan untuk sertifikat
[ ] Tambahkan dukungan untuk membaca pengaturan aman dari Vault alih-alih keystore

:CorInfrSettings Meta CorInfra team-discuss

Sumber

rjernst

Komentar yang paling membantu

Sayang,
Saya menghadapi masalah dengan lokasi elasticsearch.keystore ketika menggunakan Elastis di cluster Kubernetes dan konfigurasi yang dipasang melalui ConfigMaps. Karena ini saya memiliki fs "read-only" dari /etc/elasticsearch dan karena itu, ES akan macet.

Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
  | Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
  | at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
  | at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
  | at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
  | at java.nio.file.Files.newOutputStream(Files.java:216)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
  | at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
  | at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
  | at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
  | at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
  | at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
  | at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
  | at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
  | at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
  | at org.elasticsearch.cli.Command.main(Command.java:90)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
  | Refer to the log for complete error details.

Akan sangat bagus untuk memiliki pengaturan untuk lokasi keystore di elasticsearch.yaml untuk mengatur direktori di luar /etc/elasticsearch.

Bisakah Anda memberi saran dalam topik ini?

Terima kasih sebelumnya,

pdanysz pada 18 Mar 2019

👍5

Semua 3 komentar

Saya mengajukan masalah untuk mencakup fitur spesifik kata sandi yang melindungi keystore
https://github.com/elastic/elasticsearch/issues/32691

joshbressers pada 7 Agu 2018

Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
  | Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
  | at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
  | at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
  | at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
  | at java.nio.file.Files.newOutputStream(Files.java:216)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
  | at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
  | at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
  | at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
  | at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
  | at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
  | at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
  | at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
  | at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
  | at org.elasticsearch.cli.Command.main(Command.java:90)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
  | Refer to the log for complete error details.

Akan sangat bagus untuk memiliki pengaturan untuk lokasi keystore di elasticsearch.yaml untuk mengatur direktori di luar /etc/elasticsearch.

Bisakah Anda memberi saran dalam topik ini?

Terima kasih sebelumnya,

pdanysz pada 18 Mar 2019

👍5

Saya memberi label team-discuss untuk menentukan tugas "bagus untuk dimiliki" yang belum selesai yang masih ingin kami selesaikan. Setelah kami melakukannya, mereka harus dipromosikan ke masalah individu dan masalah ini ditutup, karena dorongan utama dari masalah ini sudah lama selesai.