Elasticsearch Security 설정

세팅 순서

설치 → Security 활성화 → yml 세팅 → 실행

Security 활성화 (elasticsearch-certutil)

Elasticsearch에서 사용자 인증(로그인)을 활성화 하기 위해서는 X-Pack Security를 활성화시켜야 합니다.

Security는 설정 파일( ,,/config/elasticsdearch.yml) 변경을 통해 활성화 할 수 있지만, Security가 활성화 되기 위해서는 Key 생성이 선행되어야 한다.

진행 위치 : elasticsearch의 bin 파일

master 노드에서 진행

1. 이름 및 비밀번호를 지정하여 CA(Certificate authority, 인증 기관, 공개키) 생성 / (이름 default : elastic-stack-ca.p12)

   ./elasticsearch-certutil ca → (”…/elasticsearch/” 경로에 생성됨)

   1. ca의 이름 입력 <미입력(엔터) 진행시 default : elastic-stack-ca.p12>
   2. ca의 패스워드 입력 <미입력(엔터) 진행시 : no password>
   3. mv …/elastic-stack-ca.p12 ../config/

   ca는 하나를 생성하여 모든 노드에 배포되어야 하므로, filezila 혹은 scp(Secure Copy Protocol)를 이용하여 경로에 배포

2. 이름 및 비밀번호를 지정하여 인증서(certificates, 대칭키, 개인키) 생성 / (이름 default : elastic-certificates.p12 )

3. ca의 패스워드 입력

4. certificates의 이름 입력 < 미입력(엔터) 진행시 default : elastic-certificates.p12>

5. certificates의 패스워드 입력 < 미입력(엔터) 진행시 : no password >

6. mv …/elastic-ceritificates.p12 ../config/

7. certificates 생성은 ‘각 노드’에서 이루어져야 합니다.

8. yml의 base_pathsms ‘…/elasticsearch/config/’ 이므로 ca 및 certificates를 config로 이동해주거나 절대경로로 지정

9. (패스워드 지정했다면) keystore에 관련된 값들을 추가

   ※ keystore 초기 구동 시, 생성 여부를 묻습니다. [y/N] y

   ./elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

   • 패스워드 입력 ./elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
   • 패스워드 입력 ./elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
   • 패스워드 입력 ./elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password
   • 패스워드 입력
   1. 첫 구동 시, 에러가 없다면 superuser 권한의 elastic 계정의 비밀번호 해시값이 생성됩니다.이를 놓쳤을 경우, ".../elasticsearch/bin/elasticsearch-setup-passwords -u elastic" 명령어를 통해 재생성이 가능합니다.
   2. multi-node 설정인 경우, 하나의 node만 실행했을 시, 필수 노드들을 찾는 수많은 에러 메시지가 출력될 수 있습니다.에러 메시지를 잘 확인한 후, 해당하는 노드를 실행시켜주면 멈춥니다.

   관련 리눅스 명령어

   • scp : ssh 원격 접속 프로토콜을 기반으로 한 파일 전송 프로토콜 → 모든 노드에 배포해야 하기 때문
     • 사용 방법
       • scp [option] [filename] [remoteid]@[remote ip]:[remote path] → 단일 파일을 원격지로 전송
       • scp [option][file 1] [file 2] … [file N] [remoteid]@[remote ip]:[remote path] → 복수의 파일을 원격지로 전송
   • Filezilla : FTP 프로그램 중 하나 → FTP란? 파일전송 프로그램(File Transfer Protocol)
   • X-Pack : Elasticsearch 에서 배포하는 공식 상용 플러그인
   • P12(Personal information Exchaange File) : 암호화 키파일
     • 바이너리 형식으로 저장, 포멧 파일은 인증서, 개인키 내용을 파일하나에 모두 담고 있다.
     • 백업용, 이동용으로 주로 사용

대칭키 방식

• 동일한 키로 암호화, 복호화를 동시에 할 수 있는 방식
• 대칭키 전달 과정에서 누군가가 대칭키를 획득한다면 쉽게 암호화된 데이터를 알아낼 수 있다.
• 이와 같은 단점을 보완한 것이 공개키 방식

공개키 방식

• 공개키와 개인키(비밀키) 두개를 가지고 있다.
  • 공개키로 암호화를 하면 데이터 보안에 집중
  • 개인키로 암호화를 하면 인증 과정에 집중