• ELK集群设置X-pack密码


    1、内置角色

    原文:https://www.elastic.co/guide/en/elasticsearch/reference/7.x/built-in-roles.html

    Elastic Stack安全功能将默认角色应用于所有用户,包括 匿名用户。默认角色使用户能够访问身份验证端点,更改自己的密码以及获取有关自身的信息。
    还有一组可以明确分配给用户的内置角色。这些角色具有一组固定的权限,无法更新。
    apm_system
    授予APM系统用户向Elasticsearch发送系统级数据(如监控)所需的访问权限。
    beats_admin
    授予对.management-beats索引的访问权限,该索引包含Beats的配置信息。
    beats_system
    授予Beats系统用户向Elasticsearch发送系统级数据(如监控)所需的访问权限。
    不应将此角色分配给用户,因为授予的权限可能会在不同版本之间更改。
    此角色不提供对节拍索引的访问,也不适合将节拍输出写入Elasticsearch。
    ingest_admin
    授予访问权限以管理所有索引模板和所有摄取管道配置。
    这个角色也没有提供用于创建指数的能力; 必须在单独的角色中定义这些权限。
    kibana_dashboard_only_user
    授予对Kibana仪表板的访问权限和对Kibana的只读权限。此角色无权访问Kibana中的编辑工具。有关更多信息,请参阅 仅限Kibana仪表板模式。
    kibana_system
    授予Kibana系统用户读取和写入Kibana索引,管理索引模板以及检查Elasticsearch集群可用性所需的访问权限。此角色授予对.monitoring-*索引的读访问权以及对索引的读写访问权.reporting-*。有关更多信息,请参阅 在Kibana中配置安全性。
    不应将此角色分配给用户,因为授予的权限可能会在不同版本之间更改。
    kibana_user
    授予Kibana用户所需的权限。此角色授予对Kibana的访问权限并授予群集的监视权限。
    logstash_admin
    授予对.logstash*索引的访问权限以管理配置。

    logstash_system
    授予Logstash系统用户向Elasticsearch发送系统级数据(如监控)所需的访问权限。有关更多信息,请参阅 在Logstash中配置安全性。
    不应将此角色分配给用户,因为授予的权限可能会在不同版本之间更改。
    此角色不提供对logstash索引的访问,也不适合在Logstash管道中使用。
    machine_learning_admin
    授予manage_ml群集权限和对.ml-*索引的读访问权限。
    machine_learning_user

    授予查看机器学习配置,状态和结果所需的最低权限。此角色授予monitor_ml集群特权以及对存储机器学习结果的.ml-notifications和.ml-anomalies*索引的读取访问权限。
    monitoring_user
    授予X-Pack监控用户所需的最低权限,而不是使用Kibana所需的权限。此角色授予对监视索引的访问权限,并授予读取基本群集信息所需的权限。还应为监视用户分配kibana_user角色。
    remote_monitoring_agent
    授予将数据写入监视索引(.monitoring-*)所需的最小权限。此角色还具有创建Metricbeat索引(metricbeat-*)并将数据写入其中所需的特权。
    remote_monitoring_collector
    授予收集Elastic Stack监控数据所需的最低权限。
    reporting_user
    授予X-Pack报告用户所需的特定权限,而不是使用Kibana所需的权限。该角色授予访问报告索引的权限; 每个用户只能访问自己的报告。还应为报告用户分配kibana_user角色和角色,以授予他们访问将用于生成报告的数据的权限。
    superuser
    授予对群集的完全访问权限,包括所有索引和数据。具有该superuser角色的用户还可以管理用户和角色,并 模拟系统中的任何其他用户。由于此角色具有许可性质,因此在将其分配给用户时要格外小心。
    transport_client
    通过Java传输客户端授予访问群集所需的权限。Java传输客户端使用节点活动API和群集状态API(启用嗅探时)获取有关群集中节点的信息。如果用户使用传输客户端,则为其分配此角色。
    有效地使用传输客户端意味着授予用户访问群集状态的权限。这意味着用户可以查看所有索引,索引模板,映射,节点以及基本上有关群集的所有内容的元数据。但是,此角色不授予查看所有索引中数据的权限。
    watcher_admin
    授予对.watches索引的读访问权限,读取对监视历史记录的访问权限以及触发的监视索引,并允许执行所有观察者操作。
    watcher_user
    授予对.watches索引的读访问权限,获取监视操作和观察者统计信息。

    设置密码

    修改es配置文件
    $ELASTIC_HOME/config/elasticsearch.yml
    xpack.security.enabled: true
    xpack.security.transport.ssl.enabled: true
    修改hosts文件
    /etc/hosts
    192.168.1.234 node01
    192.168.1.233 node02
    192.168.1.240 node03
    
    重启es集群
    
    设置默认的角色密码
    
    bin/elasticsearch-setup-passwords interactive
    
    Changed password for user apm_system
    PASSWORD apm_system = DV8MgUjnrWxPCvDnexqt
    
    Changed password for user kibana
    PASSWORD kibana = 4CG0LMkw4Gjkh8c5SPsS
    
    Changed password for user logstash_system
    PASSWORD logstash_system = IA1SFqaoGxFo1Lp0SMLB
    
    Changed password for user beats_system
    PASSWORD beats_system = mFLeC8Bgk9Ck3QdZNEmd
    
    Changed password for user remote_monitoring_user
    PASSWORD remote_monitoring_user = P2cWyMIGsslDt1slFX6c
    
    Changed password for user elastic
    PASSWORD elastic = 1lrYeg2nEXVcLEAvlGET

    配置Kibana以使用内置kibana用户和您创建的密码

    如果您不介意在配置文件中显示密码,请取消注释并更新Kibana安装目录下的config子目录中的kibana.yml文件中的以下设置::


    elasticsearch.username: "kibana"
    elasticsearch.password: "your_password"

    如果您不想将您的用户ID和密码放在kibana.yml文件中,请将它们存储在密钥库中。 运行以下命令以创建Kibana密钥库并添加安全设置:

    ./bin/kibana-keystore create
    ./bin/kibana-keystore add elasticsearch.username
    ./bin/kibana-keystore add elasticsearch.password

    上面的两种方法可以任选其中的一个。

    重启kibana

  • 相关阅读:
    mysql 中索引的限制
    lvm扩展记录
    转载:权威GIS类数据网站汇总
    转载:文件系统inodes使用率过高问题处理
    转载: k8s--pod的状态为evicted
    转载:k8s更新策略
    转载:Tomcat的JVM内存溢出解决方法
    软件推荐
    U盘安装Centos7 问题记录
    转载:Linux下查找文件
  • 原文地址:https://www.cnblogs.com/fat-girl-spring/p/12704315.html
Copyright © 2020-2023  润新知