Bảo mật logstash và elaticsearch


7

Tôi đang xem xét chạy logstash trên máy chủ sản của tôi (đơn giản cài đặt. Http://logstash.net/docs/1.1.13/tutorials/getting-started-simple ) và bộ kibana đến bản ghi truy cập.

Mối quan tâm của tôi là: làm thế nào để bảo mật nhật ký prod của tôi (đặc biệt là elaticsearch được điều hành bởi logstash) và hạn chế truy cập với vùng an toàn hoặc vào một số ips?

Cảm ơn sự giúp đỡ của bạn về điều đó


1
Bạn có thể thêm một số quy tắc của bạn iptables.
dawud

Ý anh là gì ? Chỉ cho phép 9200 cổng (elaticsearch) được mở cho chính IP máy chủ (đối với vhost kibana apache)?
CoBaLt2760

Bạn có thể vui lòng thêm chi tiết cho câu hỏi của bạn liên quan đến kiến ​​trúc thực tế bạn đã lên kế hoạch không? (có bao nhiêu máy chủ liên quan, các yếu tố điển hình của ngăn xếp logstash / kibana sẽ được triển khai ở đâu), bạn đã có SELinux, iptables, có biện pháp bảo mật nào khác không?
dawud

Câu trả lời:


4

Nếu bạn sử dụng các phiên bản sau của Logstash với Kibana :

Tôi triển khai Kibana vào một máy chủ ảo trong Apache tại /kibana/và định tuyến API Elaticsearch thông qua một proxy ngược như vậy có sẵn tại /elasticsearch/:

<Location /elasticsearch/>
    ProxyPass http://elasticsearchhost:9200/
    ProxyPassReverse /
</Location>

Bạn cần điều chỉnh Kibanas config.js

elasticsearch: "/elasticsearch/",

Sau đó, máy chủ ảo có thể được bảo mật thông qua Xác thực cơ bản HTTP, tự động áp dụng cho cả Kibana và API Elaticsearch.

Điều vẫn còn làm tôi lo lắng là người dùng Kibana cũng có thể sử dụng API Elaticsearch để thực hiện những việc khó chịu như bỏ kích thước, tắt máy chủ Elaticsearch và v.v. - ví dụ như với đầu tìm kiếm . Nhưng tôi không có một giải pháp tốt cho vấn đề đó cho đến nay. Có lẽ người ta thường có thể cho phép GET tới / elaticsearch / vì trong REST GET không thể thay đổi bất cứ điều gì, nhưng các phương thức HTTP khác thành chỉ các URL cụ thể quan trọng đối với Kibana.


0

Trong môi trường của tôi, tôi liên kết elaticsearch với giao diện openvpn.

Trong /etc/elaticsearch/elaticsearch.yml:

network.host: 172.16.xxx.xxx

Trong đó 172.16.xxx.xxx là địa chỉ IP được gán cho máy chủ bởi openvpn.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.