Mettre un cluster elasticsearch en public, c’est mal.
Et la sécurité c’est pas son truc à ES.
Heureusement nginx est là (pour le reste il y a <a href="http://hugues.lepesant vente viagra suisse.com/2015/07/30/securiser-elasticsearch-avec-iptables/ »>iptables
apt-get install nginx apache2-utils
Par contre pour accéder au plugin head de votre cluster ES, c’est une page blanche.
Heureusement nginx est là.
Voici par exemple un bout de conf à coller dans un des sites nginx (dans /etc/nginx/site-enabled/).
upstream elasticnodes {
server 192.168.0.11:9200;
server 192.168.0.12:9200;
server 192.168.0.13:9200;
keepalive 15;
}
server {
listen 443;
server_name logs.secure.net;
ssl on;
ssl_certificate /etc/ssl/secure.net/logs.secure.net.pem;
ssl_certificate_key /etc/ssl/secure.net/logs.secure.net.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
error_log /var/log/nginx/elasticsearch-errors.log;
access_log /var/log/nginx/elasticsearch.log;
location /_plugin/head/dist {
root /usr/share/nginx/html;
}
location / {
rewrite ^/(.*) /$1 break;
proxy_ignore_client_abort on;
proxy_pass http://elasticnodes;
proxy_redirect off;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_pass_header Access-Control-Allow-Origin;
proxy_pass_header Access-Control-Allow-Methods;
proxy_hide_header Access-Control-Allow-Headers;
add_header Access-Control-Allow-Headers 'X-Requested-With, Content-Type';
add_header Access-Control-Allow-Credentials true;
auth_basic "Patte Blanche ?";
auth_basic_user_file /etc/nginx/conf.d/search.htpasswd;
}
}
server {
listen 80;
server_name logs.secure.net;
return 301 https://$host$request_uri;
}
Ensuite il nous reste à installer le plugin head d’Elasticsearch sur tous les noeuds.
Pour la création du fichier de password :
htpasswd -c /etc/nginx/conf.d/search.htpasswd monuser
Ping : Sécuriser Elasticsearch avec iptables « Da Hug Page