当前位置：首页 > news >正文

Elasticsearch 单节点安全配置与用户认证

news 2026/2/7 10:01:33

Elasticsearch 单节点安全配置与用户认证

安全扫描时发现了一个高危漏洞：Elasticsearch 未授权访问。在使用 Elasticsearch 构建搜索引擎或处理大规模数据时，需要启用基本的安全功能来防止未经授权的访问。本文将通过简单的配置步骤，为单节点 Elasticsearch 实现最基本的安全功能，包括启用 Elasticsearch 自带的安全功能和配置传输层 SSL，以确保数据传输的加密和访问权限的严格管理。（elaticsearch版本7.9.2）

修改配置文件

编辑单节点的 elasticsearch.yml 文件，确保包含以下内容：

# 启用 Elasticsearch 的安全功能
xpack.security.enabled: true# 启用传输层 SSL
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required# 指定证书路径（使用默认生成的 P12 文件）
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

生成证书

在 Elasticsearch 安装目录中，使用 elasticsearch-certutil 工具生成证书

生成 CA 文件

cd /bin
./elasticsearch-certutil ca# (设置证书密码)可以直接回车选择不设置密码
Please enter the desired output file [elastic-stack-ca.p12]: 
Enter password for elastic-stack-ca.p12 :

输出文件：elastic-stack-ca.p12
选择密码（可留空）

生成节点证书

cd /bin
./elasticsearch-certutil cert --ca elastic-stack-ca.p12# (设置证书密码)可以直接回车选择不设置密码
Enter password for CA (elastic-stack-ca.p12) : 
Please enter the desired output file [elastic-certificates.p12]: 
Enter password for elastic-certificates.p12 :

输出文件：elastic-certificates.p12
可选择为证书设置密码

将证书复制到配置目录

将生成的 elastic-certificates.p12 文件移动到 Elasticsearch 的配置目录（通常是 $ES_HOME/config）下：

mv elastic-certificates.p12 $ES_HOME/config
# 赋权为es用户权限
chown es:es elastic-certificates.p12

（可选）存储证书密码

如果生成证书时设置了密码，需要将密码存储到 Elasticsearch 密钥库中：

./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

按照提示输入密码

启动 Elasticsearch

配置完成后，切换为 es 用户启动 Elasticsearch 或重启ES服务：

./elasticsearch

如果一切正常，日志中应显示以下内容：

[2024-12-03T14:27:33,401][INFO ][o.e.x.s.s.SecurityStatusChangeListener] [es-xcu-node] Active license is now [BASIC]; Security is enabled

验证安全配置

设置用户密码

默认情况下，Elasticsearch 启用了几个内置用户（例如 elastic）。运行以下命令设置密码：

cd /bin
./elasticsearch-setup-passwords interactive

按提示为用户设置密码，特别是 elastic 用户。

访问 REST 接口

使用 curl 或其他工具测试：

# 未带认证信息访问会提示报错
curl http://localhost:9200
# 提示 401 错误，表明未授权# 带认证信息的请求
curl -u elastic:设置的密码 http://localhost:9200

如果返回正常的 Elasticsearch 信息，则配置成功。

浏览器访问

Spring Boot 项目中配置 Elasticsearch 连接账户密码

1. 引入依赖

在 pom.xml 中添加 Elasticsearch 客户端依赖：

<dependency><groupId>org.elasticsearch.client</groupId><artifactId>elasticsearch-rest-high-level-client</artifactId><version>7.9.2</version>
</dependency>

2. 配置类

在 Spring Boot 项目中，通过 Java 配置类创建 RestHighLevelClient Bean：

import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.nio.client.HttpAsyncClientBuilder;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.nio.client.HttpAsyncClients;
import org.apache.http.nio.client.HttpAsyncClientBuilder;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.elasticsearch.client.RestClient;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.client.RestHighLevelClient;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class ElasticsearchConfig {@Value("${elasticsearch.host}")private String host;@Value("${elasticsearch.port}")private int port;@Value("${elasticsearch.username}")private String username;@Value("${elasticsearch.password}")private String password;@Beanpublic RestHighLevelClient restHighLevelClient() {// 配置用户名和密码BasicCredentialsProvider credentialsProvider = new BasicCredentialsProvider();credentialsProvider.setCredentials(AuthScope.ANY,new UsernamePasswordCredentials(username, password));// 构建 RestClientRestClientBuilder restClientBuilder = RestClient.builder(new HttpHost(host, port)).setHttpClientConfigCallback(httpClientBuilder -> httpClientBuilder.setDefaultCredentialsProvider(credentialsProvider));return new RestHighLevelClient(restClientBuilder);}
}

3. 配置文件

在 application.yml 或 application.properties 中添加 Elasticsearch 的相关配置：

elasticsearch:host: localhostport: 9200username: elasticpassword: elasticPWD

4. 使用示例

在需要使用 RestHighLevelClient 的地方直接注入并使用：

import org.elasticsearch.client.RequestOptions;
import org.elasticsearch.client.RestHighLevelClient;
import org.elasticsearch.client.core.MainResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;@Service
public class ElasticsearchService {@Autowiredprivate RestHighLevelClient restHighLevelClient;public String getClusterInfo() {try {MainResponse response = restHighLevelClient.info(RequestOptions.DEFAULT);return response.getClusterName().toString();} catch (Exception e) {e.printStackTrace();return "Error fetching cluster info";}}
}

5. 启动项目并验证

启动项目后，调用 ElasticsearchService 中的方法，验证是否成功连接到 Elasticsearch

Elasticsearch 单节点安全配置与用户认证

Elasticsearch 单节点安全配置与用户认证安全扫描时发现了一个高危漏洞：Elasticsearch 未授权访问。在使用 Elasticsearch 构建搜索引擎或处理大规模数据时，需要启用基本的安全功能来防止未经授权的访问。本文将通过简单的配置步骤，为单节…...

编程日记 2024/12/9 14:42:03

二分查找（带图详解）

优选算法系列文章目录优选算法系列前言一、二分查找的思想二、算法使用小总结三、代码实现四、二分查找拓展4.1、查找第一次出现的target小总结 4.2、target最后出现的位置小总结五、代码总结前言在这篇博客中，我会给大家分享二分查找及其扩展。这是链接-&…...

编程日记 2024/12/9 14:41:01

【Git】：标签管理

目录理解标签创建标签操作标签理解标签标签的作用标记版本：标签 tag ，可以简单的理解为是对某次 commit 的⼀个标识，相当于起了⼀个别名。例如，在项目发布某个版本的时候，针对最后⼀次 commit 起⼀个 v1.0 这样…...

编程日记 2024/12/9 14:38:59

物品识别树莓派 5 YOLO v5 v8 v10 11 计算机视觉

0. 要实现的效果让树莓派可以识别身边的一些物品，比如电脑，鼠标，键盘，杯子，行李箱，双肩包，床，椅子等 1. 硬件设备树莓派 5 raspberrypi.com/products/raspberry-pi-5/树莓派官方摄…...

编程日记 2024/12/9 14:37:57

单片机软件工程师前景分析

单片机软件工程师的前景在2024年看起来是积极的。随着物联网（IoT）、自动化、智能设备等领域的快速发展，对于能够开发基于单片机（MCU）如STM32、ARM、51等嵌入式系统的软件工程师需求持续增长。这些工程师负责设计和实现…...

编程日记 2024/12/9 14:36:55

在Java中几种常用数据压缩算法的实现及其优劣势

在Java中几种常用数据压缩算法的实现及其优劣势背景：项目需要引入Redis作为缓存组件，需要考虑到Redis的内存占用（机器内存越大，成本越高），因此需要引入数据压缩。 1、介绍数据压缩是计算机领域中一项重要…...

编程日记 2024/12/9 14:29:46

Word——如何打出符号中的 1、2、3等带圆圈的序号

一、方式1 1.1：点击插入-符号 1.2：字体选择 Wingdings 或者 Wingdings 2 二、方式2 带1的圈：输入 2460，然后按 AItX 带2的圈：输入 2461，然后按 AItX 带3的圈：输入 2462，然后按 …...

编程日记 2024/12/9 14:27:42

操作系统之进程与线程

进程定义： 进程是具有独立功能的程序关于某个数据集合上的一次运行活动，是系统进行资源分配和调度的独立单位。组成： 包括程序代码、程序处理的数据、程序计数器、一组寄存器的值以及系统资源（如打开的文件）等。 …...

编程日记 2024/12/9 14:26:40

代码随想录算法训练营打卡第35天：背包问题

前言 zaccheo打卡代码随想录第35天由于这段时间工作太忙了（加上我的懒病犯了）导致迟打卡了好几天555555.。。。今天的主要是动态规划中的背包问题，这个真的是蛮难理解的，我把我自己强行按在椅子上半个小时一点一点的看卡哥文章…...

编程日记 2024/12/9 14:25:39

【MySQL】数据库 Navicat 可视化工具与 MySQL 命令行基本操作

💯 欢迎光临清流君的博客小天地，这里是我分享技术与心得的温馨角落 💯 🔥 个人主页:【清流君】🔥 📚 系列专栏: 运动控制 | 决策规划 | 机器人数值优化 📚 🌟始终保持好奇心&…...

编程日记 2024/12/9 14:24:38

vscode（一）安装（ubuntu20.04）

1、更新软件包列表 sudo apt update2、安装依赖包 sudo apt install software-properties-common apt-transport-https wget3、导入Microsoft GPG密钥 wget -q https://packages.microsoft.com/keys/microsoft.asc -O- | sudo apt-key add -4、向系统添加VSCode存储库 sudo…...

编程日记 2024/12/9 14:21:33

利用永恒之蓝对win7进行键盘记录

打开kali中的msfconsole 找到永恒之蓝，设置靶机ip，后可以exploit，也可以run 连接成功查看进程，选择监听靶机win7上的cmd.exe进程当前进程不是1484，需要迁移到1484 cmd.exe，进程迁移键盘监听，…...

编程日记 2024/12/9 14:17:27

万字长文解读深度学习——dVAE（DALL·E的核心部件）

🌺历史文章列表🌺 深度学习——优化算法、激活函数、归一化、正则化深度学习——权重初始化、评估指标、梯度消失和梯度爆炸深度学习——前向传播与反向传播、神经网络（前馈神经网络与反馈神经网络）、常见算法概要汇总万字长…...

编程日记 2024/12/9 14:16:25

RL仿真库pybullet

1. 介绍 PyBullet是一个基于Bullet Physics引擎的物理仿真Python接口，主要用于机器人仿真模拟。 1.1 主要特点提供大量预设的机器人模型，例如URDF(统一机器人描述格式)、SDF、MJCF 格式。适用于训练和评估强化学习算法，提供了大量的强化学…...

编程日记 2024/12/9 14:15:23

file_get_contents函数导致网站卡死响应超时

宝塔控制面板系统下运行包含file_get_contents函数的php文件时候，发生以下报错： PHP Warning: file_get_contents():php_network_getaddresses: getaddrinfo failed: 解决方法： 一：需要检查请求的远程主机是否在本机的/etc/host…...

编程日记 2024/12/9 14:13:18

如何使用C#与SQL Server数据库进行交互

一.创建数据库用VS 创建数据库的步骤： 1.打开vs，创建一个新项目，分别在搜素框中选择C#、Windows、桌面，然后选择Windows窗体应用(.NET Framework) 2.打开“视图-服务器资源管理器”，右键单击“数据连接”&#xff0…...

编程日记 2024/12/9 14:10:15

#渗透测试#红蓝对抗#SRC漏洞挖掘# Yakit（5）进阶模式-MITM中间人代理与劫持(上)

免责声明本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停…...

编程日记 2024/12/9 14:05:07

vue3 项目搭建-9-通过 router 在跳转页面时传参

第一步，在跳转链接处挂载方法，将要传输的数据传入： <a href"#" click.prevent"goToArticle(obj.id)" class"click"><h1>{{obj.title}}</h1><p>作者：{{obj.author}}</p&…...

编程日记 2024/12/9 14:04:06

Java、python标识符命名规范

Java 包名所有字母一律小写。例如cn.com.test类名和接口名每个单词的首字母都要大写。例如ArrayList、Iterator常量名所有字母都大写，单词之间用下划线连接，例如：DAY_OF_MONTH变量名和方法名的第一个单词首字母小写，从第二个单词…...

编程日记 2024/12/9 14:01:02

高效职场人

文章目录 1.时间效能 ABCD2.高效员工的习惯之自我掌控的秘诀3.学会做主4.学会互赢5.学会沟通、学会聆听6.学会可持续发展：四个方面更新自我(1)更新身体(2)更新精神(3)更新智力(4)更新人际情感 1.时间效能 ABCD 时间四象限： A类任务：重要且紧…...

编程日记 2024/12/9 14:00:01

CVPR 2025 MIMO: 支持视觉指代和像素grounding 的医学视觉语言模型

CVPR 2025 | MIMO：支持视觉指代和像素对齐的医学视觉语言模型论文信息标题：MIMO: A medical vision language model with visual referring multimodal input and pixel grounding multimodal output作者：Yanyuan Chen, Dexuan Xu, Yu Hu…...

编程新知 2025/10/6 14:17:21

MySQL 隔离级别：脏读、幻读及不可重复读的原理与示例

一、MySQL 隔离级别 MySQL 提供了四种隔离级别，用于控制事务之间的并发访问以及数据的可见性，不同隔离级别对脏读、幻读、不可重复读这几种并发数据问题有着不同的处理方式，具体如下：隔离级别脏读不可重复读幻读性能特点及锁机制读未提交（READ UNCOMMITTED）允许出现允许…...

编程新知 2025/9/16 21:01:58

大型活动交通拥堵治理的视觉算法应用

大型活动下智慧交通的视觉分析应用一、背景与挑战大型活动（如演唱会、马拉松赛事、高考中考等）期间，城市交通面临瞬时人流车流激增、传统摄像头模糊、交通拥堵识别滞后等问题。以演唱会为例，暖城商圈曾因观众集中离场导致周边…...

编程新知 2026/1/23 7:15:40

DAY 47

三、通道注意力 3.1 通道注意力的定义 # 新增：通道注意力模块（SE模块） class ChannelAttention(nn.Module):"""通道注意力模块(Squeeze-and-Excitation)"""def __init__(self, in_channels, reduction_rat…...

编程新知 2026/2/4 23:29:22

Frozen-Flask ：将 Flask 应用“冻结”为静态文件

Frozen-Flask 是一个用于将 Flask 应用“冻结”为静态文件的 Python 扩展。它的核心用途是：将一个 Flask Web 应用生成成纯静态 HTML 文件，从而可以部署到静态网站托管服务上，如 GitHub Pages、Netlify 或任何支持静态文件的网站服务器。 &am…...

编程新知 2025/12/5 20:57:13