Elasticsearch 7.x如何設置用戶名密碼開啟x-pack驗證

# Elasticsearch 7.x如何設置用戶名密碼開啟x-pack驗證

## 前言

在Elasticsearch的生產環境中，安全認證是必不可少的環節。Elasticsearch從6.8版本開始將X-Pack的基礎安全功能（包括認證授權）集成到開源版本中，7.x版本延續了這一特性。本文將詳細介紹如何在Elasticsearch 7.x中配置用戶名密碼認證，啟用X-Pack的安全功能。

## 環境準備

1. 已安裝Elasticsearch 7.x（單節點或集群）
2. 操作系統：Linux/Windows/Mac均可（本文以Linux為例）
3. 確保elasticsearch服務已停止（修改配置前需要停止服務）

## 配置步驟

### 1. 修改elasticsearch.yml配置

編輯`config/elasticsearch.yml`文件，添加以下配置：

```yaml
# 啟用X-Pack安全功能
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

# 如果是集群需要額外配置
# discovery.type: single-node  # 單節點模式
# cluster.initial_master_nodes: ["node-1"] # 集群初始化節點

2. 生成節點證書（可選但推薦）

執行以下命令生成TLS證書：

./bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""

然后在elasticsearch.yml中添加：

xpack.security.transport.ssl.keystore.type: PKCS12
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

3. 啟動Elasticsearch

./bin/elasticsearch -d  # 后臺啟動

4. 設置內置用戶密碼

Elasticsearch提供以下內置用戶： - elastic：超級用戶 - kibana_system：Kibana系統用戶 - logstash_system：Logstash系統用戶 - beats_system：Beats系統用戶 - apm_system：APM系統用戶 - remote_monitoring_user：遠程監控用戶

執行密碼設置命令：

./bin/elasticsearch-setup-passwords interactive

系統會提示為每個內置用戶設置密碼，建議使用強密碼并妥善保存。

5. 驗證認證是否生效

使用curl測試（注意替換密碼）：

curl -u elastic:yourpassword -XGET 'http://localhost:9200/_security/_authenticate'

成功會返回用戶信息：

{
  "username": "elastic",
  "roles": ["superuser"],
  "full_name": null,
  "email": null,
  "metadata": {},
  "enabled": true
}

常見問題解決方案

1. 密碼忘記怎么辦？

可以通過以下步驟重置： 1. 停止Elasticsearch 2. 臨時關閉安全認證 3. 啟動后使用API重置密碼 4. 重新啟用安全認證

2. 如何添加自定義用戶？

使用Kibana的Security功能或Elasticsearch API：

curl -u elastic -X POST "localhost:9200/_security/user/john_doe?pretty" -H 'Content-Type: application/json' -d'
{
  "password" : "userpassword",
  "roles" : [ "read_only", "custom_role" ],
  "full_name" : "John Doe",
  "email" : "john@example.com"
}
'

3. 性能影響評估

啟用安全認證后，性能影響主要來自： - TLS加密/解密開銷（約5-10%性能下降） - 認證授權檢查（約2-5%性能下降） 建議在生產環境務必啟用，開發環境可酌情關閉

最佳實踐建議

1. 密碼策略：

   • 定期輪換密碼（90天）
   • 使用密碼管理工具存儲
   • 避免使用默認密碼

2. 權限控制：

   • 遵循最小權限原則
   • 為不同角色創建不同用戶
   • 定期審計用戶權限

3. 日志監控：

   • 啟用安全審計日志
   • 監控失敗登錄嘗試
   • 設置異常登錄告警

結語

通過本文的步驟，您已成功為Elasticsearch 7.x啟用了X-Pack安全認證。安全配置是Elasticsearch生產部署的基礎要求，建議結合網絡防火墻、TLS加密等多層防護措施構建完整的安全體系。隨著業務發展，可進一步探索角色映射、文檔級安全等高級特性。

注意：本文適用于Elasticsearch 7.0-7.17版本，更高版本可能有配置差異，請參考官方文檔。 “`

這篇文章共計約850字，采用Markdown格式編寫，包含配置步驟、常見問題解決和最佳實踐等內容，適合作為技術文檔使用。