Sécurisé un poil votre cluster Elasticsearch (round 1 : Nginx)

Mettre un cluster elasticsearch en public, c’est mal.
Et la sécurité c’est pas son truc à ES.

Heureusement nginx est là (pour le reste il y a <a href="http://hugues.lepesant vente viagra suisse.com/2015/07/30/securiser-elasticsearch-avec-iptables/ »>iptables

apt-get install nginx apache2-utils

Par contre pour accéder au plugin head de votre cluster ES, c’est une page blanche.
Heureusement nginx est là.
Voici par exemple un bout de conf à coller dans un des sites nginx (dans /etc/nginx/site-enabled/).

upstream elasticnodes {
    server 192.168.0.11:9200;
    server 192.168.0.12:9200;
    server 192.168.0.13:9200;

    keepalive 15;
}

server {
    listen 443;
    server_name logs.secure.net;

    ssl on;
    ssl_certificate /etc/ssl/secure.net/logs.secure.net.pem;
    ssl_certificate_key /etc/ssl/secure.net/logs.secure.net.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;

    error_log   /var/log/nginx/elasticsearch-errors.log;
    access_log  /var/log/nginx/elasticsearch.log;

    location /_plugin/head/dist {
        root /usr/share/nginx/html;
    }

    location / {

        rewrite ^/(.*) /$1 break;

        proxy_ignore_client_abort on; 
        proxy_pass http://elasticnodes;
        proxy_redirect off;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP   $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_pass_header Access-Control-Allow-Origin;
        proxy_pass_header Access-Control-Allow-Methods;
        proxy_hide_header Access-Control-Allow-Headers;
        add_header Access-Control-Allow-Headers 'X-Requested-With, Content-Type';
        add_header Access-Control-Allow-Credentials true;

        auth_basic  "Patte Blanche ?";
        auth_basic_user_file /etc/nginx/conf.d/search.htpasswd;
    }
}

server {
    listen 80;
    server_name logs.secure.net;
    return 301 https://$host$request_uri;
}

Ensuite il nous reste à installer le plugin head d’Elasticsearch sur tous les noeuds.

Pour la création du fichier de password :

htpasswd -c /etc/nginx/conf.d/search.htpasswd monuser
Ce contenu a été publié dans elasticsearch, Mes docs, nginx, sécurité. Vous pouvez le mettre en favoris avec ce permalien.

1 réponse à Sécurisé un poil votre cluster Elasticsearch (round 1 : Nginx)

  1. Ping : Sécuriser Elasticsearch avec iptables « Da Hug Page

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.