Sécurisé un poil votre cluster Elasticsearch (round 1 : Nginx)

Mettre un cluster elasticsearch en public, c’est mal.
Et la sécurité c’est pas son truc à ES.

Heureusement nginx est là (pour le reste il y a <a href="http://hugues.lepesant vente viagra suisse.com/2015/07/30/securiser-elasticsearch-avec-iptables/ »>iptables

1
apt-get install nginx apache2-utils

Par contre pour accéder au plugin head de votre cluster ES, c’est une page blanche.
Heureusement nginx est là.
Voici par exemple un bout de conf à coller dans un des sites nginx (dans /etc/nginx/site-enabled/).

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
upstream elasticnodes {
    server 192.168.0.11:9200;
    server 192.168.0.12:9200;
    server 192.168.0.13:9200;
 
    keepalive 15;
}
 
server {
    listen 443;
    server_name logs.secure.net;
 
    ssl on;
    ssl_certificate /etc/ssl/secure.net/logs.secure.net.pem;
    ssl_certificate_key /etc/ssl/secure.net/logs.secure.net.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;
 
    error_log   /var/log/nginx/elasticsearch-errors.log;
    access_log  /var/log/nginx/elasticsearch.log;
 
    location /_plugin/head/dist {
        root /usr/share/nginx/html;
    }
 
    location / {
 
        rewrite ^/(.*) /$1 break;
 
        proxy_ignore_client_abort on;
        proxy_pass http://elasticnodes;
        proxy_redirect off;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP   $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_pass_header Access-Control-Allow-Origin;
        proxy_pass_header Access-Control-Allow-Methods;
        proxy_hide_header Access-Control-Allow-Headers;
        add_header Access-Control-Allow-Headers 'X-Requested-With, Content-Type';
        add_header Access-Control-Allow-Credentials true;
 
        auth_basic  "Patte Blanche ?";
        auth_basic_user_file /etc/nginx/conf.d/search.htpasswd;
    }
}
 
server {
    listen 80;
    server_name logs.secure.net;
    return 301 https://$host$request_uri;
}

Ensuite il nous reste à installer le plugin head d’Elasticsearch sur tous les noeuds.

Pour la création du fichier de password :

1
htpasswd -c /etc/nginx/conf.d/search.htpasswd monuser

Une réflexion au sujet de « Sécurisé un poil votre cluster Elasticsearch (round 1 : Nginx) »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.