Elasticsearch设置密码实战案例：从零实现用户鉴权

Elasticsearch 安全加固实战：从零构建用户鉴权体系

最近在帮一个团队排查一起生产事故，问题出得让人后怕——他们的 Elasticsearch 集群直接暴露在公网，没有任何访问控制。结果呢？攻击者通过简单的扫描就发现了这个“裸奔”的节点，不仅把日志数据全部下载，还写入了恶意脚本反向连接 C2 服务器。

这并非个例。Elasticsearch 因未设置密码导致的数据泄露事件，在过去几年中屡见不鲜。而这一切的根源，往往只是缺少一次正确的elasticsearch-setup-passwords操作。

今天我们就来手把手完成一次完整的安全加固流程：从零启用 X-Pack Security，设置初始密码，配置角色权限，并解决常见连接问题。目标不是堆砌术语，而是让你真正掌握如何为你的 ES 实例穿上第一层“防弹衣”。

为什么必须做 elasticsearch 设置密码？

很多人觉得：“我部署在内网，没必要设密码。”但现实是：

• 内部网络也可能被横向渗透；
• 开发、测试环境常有疏漏；
• 自动化扫描工具无处不在。

Elasticsearch 默认开启 9200 端口，提供完整的 REST API 访问能力。如果没有身份验证机制，任何能访问该端口的人都可以：
- 查看所有索引数据（GET /_cat/indices）
- 删除整个集群数据（DELETE /）
- 执行任意脚本（历史上曾引发远程代码执行漏洞）

所以，“elasticsearch设置密码”不是可选项，而是上线前的强制动作。

幸运的是，自 6.8 版本起，Elastic 官方将基础安全功能免费开放。这意味着我们无需额外授权，就能使用用户名/密码认证、RBAC 权限控制和 TLS 加密通信。

核心组件：X-Pack Security 是什么？

别被名字吓到，“X-Pack”听起来像是商业插件，但实际上它的 Security 模块已经深度集成进开源版本。

它不是一个独立服务，而是运行在每个 Elasticsearch 节点上的安全子系统，负责三件事：

1. 你是谁？→ 身份认证（Authentication）
2. 你能做什么？→ 授权检查（Authorization）
3. 你怎么通信？→ 传输加密（Encryption）

整个过程就像公司门禁系统：
- 刷卡进门 = 提供用户名密码（Basic Auth）
- 不同区域刷不同卡 = 角色决定权限范围
- 监控录像记录进出行为 = 审计日志

✅ 关键优势：它是原生实现，不像 Nginx + HTTP Auth 那样只能做到路径级保护。X-Pack 支持精确到某个索引、某个字段的操作权限。

实战第一步：启用安全并生成证书

我们要做的第一件事，是在elasticsearch.yml中打开安全开关。

# config/elasticsearch.yml cluster.name: my-prod-cluster node.name: node-1 network.host: 0.0.0.0 http.port: 9200 # === 启用安全功能 === xpack.security.enabled: true # === 启用节点间通信加密 === xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

注意这里有两个关键概念：

现在的问题是：证书从哪来？

Elastic 提供了一个非常实用的工具：elasticsearch-certutil，专门用于生成自签名 CA 和节点证书。

生成证书链（单节点示例）

# 进入安装目录 cd /usr/share/elasticsearch # 1. 创建根 CA bin/elasticsearch-certutil ca --name my-ca --ip "127.0.0.1" # 2. 基于 CA 为节点签发证书 bin/elasticsearch-certutil cert --ca my-ca --name node-1 --ip "127.0.0.1"

执行完会生成一个certs.zip文件，解压到config/certs/目录即可。

如果你打算启用 HTTPS 访问，还可以单独生成 HTTP 层证书：

# 可选：启用 HTTP 层 SSL xpack.security.http.ssl: enabled: true keystore.path: certs/http.p12

实战第二步：启动并初始化密码

修改完配置后，先启动 Elasticsearch：

./bin/elasticsearch

首次启动时你会看到类似日志：

[WARN ] Security is enabled, but the password for the 'elastic' user has not been set.

这是正常的——Elasticsearch 不会自动为你创建密码，必须手动初始化。

这时候就要用到核心命令：

# 方式一：自动生成随机强密码（适合自动化部署） ./bin/elasticsearch-setup-passwords auto # 方式二：交互式设置（推荐初学者使用） ./bin/elasticsearch-setup-passwords interactive

选择interactive模式后，你会依次为以下内置用户设置密码：

🔐 建议：给elastic用户设置一个高强度密码，并妥善保管。其他系统账户的密码可由机器生成并存入配置管理工具。

一旦完成，这些凭据就会被加密存储在.security-*系统索引中，后续所有请求都必须携带有效的认证信息。

实战第三步：用户与权限管理

密码设好了，接下来要考虑的是：不能让所有人都用elastic用户操作！

想象一下，如果开发人员拿着超级管理员账号去查日志，一不小心敲了个DELETE /app-logs-*，后果不堪设想。

正确的做法是遵循最小权限原则，建立“用户 → 角色 → 权限”的三层模型。

内置角色一览

Elasticsearch 提供了一些常用的角色模板，可以直接使用：

自定义角色：只读访问特定索引

假设我们有一个应用日志索引app-logs-*，希望创建一个只读角色供分析师使用。

可以通过 REST API 创建角色：

PUT _security/role/read_app_logs { "indices": [ { "names": ["app-logs-*"], "privileges": ["read", "view_index_metadata"] } ] }

然后创建用户并绑定该角色：

PUT _security/user/jane_analyst { "password": "AnalystPass2024!", "roles": ["read_app_logs", "viewer"], "full_name": "Jane Analyst", "email": "jane@company.com" }

调用方式也很简单：

curl -u elastic:your_elastic_password \ -X PUT "http://localhost:9200/_security/user/jane_analyst" \ -H "Content-Type: application/json" \ -d @user.json

这样，jane_analyst就只能读取app-logs-*的内容，无法删除、写入或访问其他敏感索引。

外部组件如何连接？

设置了密码之后，所有外部客户端也必须更新配置，否则将无法通信。

1. Kibana 配置

编辑kibana.yml：

server.host: "0.0.0.0" elasticsearch.hosts: ["https://localhost:9200"] # 必须指定系统用户和密码 elasticsearch.username: "kibana_system" elasticsearch.password: "your_generated_kibana_password" # 如果用了自签名证书，临时关闭验证（仅限测试） elasticsearch.ssl.verificationMode: none

⚠️ 生产环境应导入 CA 证书，而不是禁用验证！

2. Logstash 输出插件配置

output { elasticsearch { hosts => ["https://es-node:9200"] user => "logstash_writer" password => "secure_password" ssl => true cacert => "/path/to/http_ca.crt" } }

3. 应用程序调用建议

对于业务系统，推荐使用API Key替代静态用户名密码：

POST /_security/api_key { "name": "my-app-key", "role_descriptors": { "my-role": { "cluster": ["monitor"], "index": [ { "names": ["app-data-*"], "privileges": ["read"] } ] } } }

返回的 API Key 是一对id和api_key，可用于无状态认证：

curl -H "Authorization: ApiKey YOUR_ID.YOUR_KEY" \ http://localhost:9200/app-data-*/_search

好处是支持过期、撤销，且不会暴露主账户凭证。

常见坑点与解决方案

❌ 问题1：curl 报错 “missing authentication credentials”

现象：

curl http://localhost:9200/_cat/indices # 返回：{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication"}]}}

原因：没带用户名密码。

修复：

curl -u elastic:your_password http://localhost:9200/_cat/indices

❌ 问题2：Kibana 启动失败，“Unable to retrieve version information”

日志片段：

FATAL Error: Unable to retrieve version information from Elasticsearch nodes.

原因：kibana_system用户密码错误或未配置。

检查项：
-kibana.yml中是否设置了elasticsearch.username/password
- 密码是否与elasticsearch-setup-passwords生成的一致
- 是否启用了 HTTPS 却未配置ssl.certificateAuthorities

❌ 问题3：忘记elastic用户密码怎么办？

别慌，有办法重置：

1. 停止 Elasticsearch
2. 临时关闭安全模块：

# 修改 elasticsearch.yml xpack.security.enabled: false

3. 启动 ES，此时无需认证
4. 使用 API 重置密码：

curl -X POST "localhost:9200/_security/user/elastic/_password" \ -H "Content-Type: application/json" \ -d '{ "password": "new_strong_password" }'

5. 恢复xpack.security.enabled: true并重启

⚠️ 注意：此操作需谨慎，仅限紧急恢复场景。

最佳实践清单

写在最后

完成这次配置后，你已经成功为 Elasticsearch 构建了最基本但也最关键的防护层。

但这只是起点。真正的安全是一个持续的过程：

• 可以进一步探索基于 LDAP 的统一身份认证；
• 使用 Role Mapping 实现动态权限映射；
• 配置 Alerting 规则，当出现异常登录时及时告警；
• 在多租户场景下实现索引隔离和字段级脱敏。

🔐最后提醒一句：每一个暴露在网络中的 Elasticsearch 实例，都应该经历过一次完整的elasticsearch-setup-passwords流程。这不是“以后再说”的事，而是上线前的必答题。

如果你正在搭建 ELK 平台，不妨现在就去检查一下你的elasticsearch.yml——那行xpack.security.enabled: true，值得你花 30 分钟认真对待。