Elasticsearch: Безопасные настройки

Созданный на 6 янв. 2017 · 3Комментарии · Источник: elastic/elasticsearch

Это мета-проблема для отслеживания работы по обеспечению безопасности конфиденциальных настроек в elasticsearch. Основная инфраструктура для этой функции добавлена в # 22335, который предоставляет инструмент elasticsearch-keystore . Чтобы функция была завершена, необходимо выполнить следующие работы:

[x] Преобразование существующих настроек (например, ключей aws) в новую инфраструктуру
[x] Добавить поддержку паролей в хранилище ключей
[x] Добавить пароль чтения для стартовых скриптов (init.d и systemd)
[x] ~~Найдите лучшее место для файла хранилища ключей.~~

Было бы неплохо иметь:

[] Изучить разрешение только на чтение безопасных настроек, зарегистрированных плагинами (например, запрет на чтение безопасных настроек другого плагина)
[x] ~~Изучите настройку явного алгоритма для PBE~~
[] Добавить поддержку закрытых ключей
[] Добавить поддержку сертификатов
[] Добавить поддержку чтения безопасных настроек из Vault вместо хранилища ключей.

:CorInfrSettings Meta CorInfra team-discuss

Источник

rjernst

Самый полезный комментарий

Дорогие,
Я столкнулся с проблемой с расположением elasticsearch.keystore при использовании Elastic в кластерах Kubernetes, и конфигурация монтируется через ConfigMaps . Из-за этого у меня есть доступная только для чтения файловая система / etc / elasticsearch, и из-за этого ES выйдет из строя.

Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
  | Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
  | at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
  | at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
  | at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
  | at java.nio.file.Files.newOutputStream(Files.java:216)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
  | at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
  | at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
  | at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
  | at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
  | at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
  | at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
  | at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
  | at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
  | at org.elasticsearch.cli.Command.main(Command.java:90)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
  | Refer to the log for complete error details.

Было бы здорово иметь настройки для местоположения хранилища ключей в elasticsearch.yaml, чтобы установить каталог за пределами / etc / elasticsearch.

Можете посоветовать в этой теме?

Заранее спасибо,

pdanysz 18 мар. 2019

👍5

Все 3 Комментарий

Я написал вопрос, касающийся конкретной функции защиты хранилища ключей паролем.
https://github.com/elastic/elasticsearch/issues/32691

joshbressers 7 авг. 2018

Exception in thread "main" org.elasticsearch.bootstrap.BootstrapException: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
--
  | Likely root cause: java.nio.file.FileSystemException: /etc/elasticsearch/elasticsearch.keystore.tmp: Read-only file system
  | at sun.nio.fs.UnixException.translateToIOException(UnixException.java:91)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:102)
  | at sun.nio.fs.UnixException.rethrowAsIOException(UnixException.java:107)
  | at sun.nio.fs.UnixFileSystemProvider.newByteChannel(UnixFileSystemProvider.java:214)
  | at java.nio.file.spi.FileSystemProvider.newOutputStream(FileSystemProvider.java:434)
  | at java.nio.file.Files.newOutputStream(Files.java:216)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:411)
  | at org.apache.lucene.store.FSDirectory$FSIndexOutput.<init>(FSDirectory.java:407)
  | at org.apache.lucene.store.FSDirectory.createOutput(FSDirectory.java:255)
  | at org.elasticsearch.common.settings.KeyStoreWrapper.save(KeyStoreWrapper.java:467)
  | at org.elasticsearch.bootstrap.Bootstrap.loadSecureSettings(Bootstrap.java:238)
  | at org.elasticsearch.bootstrap.Bootstrap.init(Bootstrap.java:295)
  | at org.elasticsearch.bootstrap.Elasticsearch.init(Elasticsearch.java:159)
  | at org.elasticsearch.bootstrap.Elasticsearch.execute(Elasticsearch.java:150)
  | at org.elasticsearch.cli.EnvironmentAwareCommand.execute(EnvironmentAwareCommand.java:86)
  | at org.elasticsearch.cli.Command.mainWithoutErrorHandling(Command.java:124)
  | at org.elasticsearch.cli.Command.main(Command.java:90)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:116)
  | at org.elasticsearch.bootstrap.Elasticsearch.main(Elasticsearch.java:93)
  | Refer to the log for complete error details.

Можете посоветовать в этой теме?

Заранее спасибо,

pdanysz 18 мар. 2019

👍5

Я обозначаю это team-discuss чтобы определить, какие из еще незавершенных задач, которые "приятно иметь", мы все еще собираемся выполнить. Как только мы это сделаем, их следует переместить в отдельные вопросы, а этот вопрос закрыть, поскольку основная направленность этого вопроса уже давно завершена.