我们知道 Elastic 安全是非常重要的。没有这个我们的数据可以被任何的人进行访问，串改，删除。Elastic Stack 的安全是由 x-pack 所提供的。在 Elastic Stack 7.0 版本之前，这个是商用的版本，需要进行安装，并购买。从 Elastic Stack 7.0 之后，x-pack 都已经在发布版中，所以不需要进行安装。我们只需要进行配置就可以了。有关安全的更多信息，请阅读文章 “Security for Elasticsearch is now free”。

在今天的这篇文章中，我们来详细介绍如何为 Elastic Stack 设置安全账户。在进行这个教程之前，我相信大家已经阅读过文章：

• 如何在 Linux，MacOS 及 Windows 上进行安装 Elasticsearch

• Kibana：如何在 Linux，MacOS 及 Windows 上安装 Elastic 栈中的 Kibana

已经在自己的电脑或服务器上安装好 Elasticsearch 及 Kibana。

在节点上启用 Elastic 安全功能

使用基本和试用许可证时，默认情况下会禁用 Elasticsearch 安全功能。 要启用它们，首先，我们必须停止所以正在运行的 Elastic Stack 软件：

• 停止 Kibana。依赖于你安装的方法不同，停止 Kibana 的方法也会不同。大家可以参考链接 “Start and stopping Kibana”。对于从一个 archive（.tar.gz或.zip）发布进行安装的，可以直接使用在命令行键入 Ctrl + C 来进行停止。
• 停止 Elasticsearch。对于从一个 archive（.tar.gz 或 .zip）发布进行安装的，可以直接使用在命令行键入 Ctrl + C 来进行停止。对于其它形式的安装，可以参考链接 “Stopping Elasticsearch” 来进行停止。
• 添加 xpack.security.enabled 设置到 ES_PATH_CONF/elasticsearch.yml 文件。这里的 ES_PATH_CONF 是指的在 Elasticsearch 安装目录下的 config 目录。如果你是使用的 debian 或 RPM 安装包，那么这个目录将位于 /etc/elasticsearch。比如加入如下的一行到 elasticsearch.yml 中：

xpack.security.enabled: true

• 在 ES_PATH_CONF/elasticsearch.yml 文件中启用 single-node 发现模式

本教程涉及单个节点群集，但如果你有多个节点，则可以在群集中的每个节点上启用 Elasticsearch 安全功能，并为节点间通信配置传输层安全性（TLS），如果你有这个方面的需求，你可以参考文章 “Security：如何安装 Elastic SIEM 和 EDR”。这超出了本教程的范围。 通过启用单节点发现，我们推迟了 TLS 的配置。 例如，添加以下设置：

discovery.type: single-node

• 重新启动我们的 Elasticsearch

 针对以 .tar.gz 或 .zip 来进行安装的 Elasticsearch，我们可以通过如下的方式来进行启动。针对其它方式的安装，我们可以通 过参阅链接 “Starting Elasticsearch” 来启动。

./bin/elasticsearch

这样，在我们的 Elasticsearch.yml 里，我们添加如上的两个语句就够了。

为内置用户编辑创建密码

我们可以参照链接来创建我们的密码。您可以将 内置用户 用于特定的管理目的：apm_system，beats_system，elastic，kibana，logstash_system 和 remote_monitoring_user。

在使用它们之前，我们必须为它们设置密码。在 Elasticsearch 的目录里安装打入如下的命令：

./bin/elasticsearch-setup-passwords interactive

$ ./bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]

你安装提示进行设置。在这个过程中选择你喜欢的密码来设置。

对于一些用户喜欢一个随机的密码，那么你可以使用如下的方式来创建你自己密码：

./bin/elasticsearch-setup-passwords auto

这样它可以帮我生成一些随机的密码。

经过上面的配置后，我们可以在 terminal 中使用如下的方式来进行访问 Elasticsearch：

curl -u elastic:password 'http://localhost:9200'

或者如下的方式：

curl 'http://elastic:password@localhost:9200'

在这里， elastic 是超级用户的用户名，password 是我们设置的密码。我们也可以在浏览器中尝试访问 Elasticsearch:

为 Kibana 添加内置用户

启用 Elasticsearch 安全功能后，用户必须使用有效的用户 ID 和密码登录 Kibana。

Kibana 还执行一些需要使用内置 kibana 用户的任务。

配置 Kibana 以使用内置 kibana 用户和您创建的密码

• 如果您不介意在配置文件中显示密码，请取消注释并更新 Kibana 安装目录下的 config 子目录中的 kibana.yml文 件中的以下设置：

elasticsearch.username: "kibana"
elasticsearch.password: "your_password"

这里的 “your_password” 就是我们在上一节 Elasticsearch 中使用 elasticsearch-setup-passwords 命令配置的内置用户密码。

• 如果您不想将你的用户 ID 和密码放在 kibana.yml 文件中，请将它们存储在密钥库中。 运行以下命令以创建 Kibana 密钥库并添加安全设置：

./bin/kibana-keystore create
./bin/kibana-keystore add elasticsearch.username
./bin/kibana-keystore add elasticsearch.password

出现提示时，请为这些设置值指定 kibana 内置用户及其密码。 启动 Kibana 时会自动应用这些设置。

• 你也可以在启动 Kibana 带有参数，比如

./bin/kibana --elasticsearch.hosts="http://localhost:9200" --elasticsearch.username=kibana --elasticsearch.password=password

上面的三种方法可以任选其中的一个。

重新启动 Kibana

针对以 .tar.gz 或 .zip 进行安装的 Kibana，可以通过如下的命令来进行启动 Kibana：

./bin/kibana

在 Kibana 的安装目录运行以上的命令就可以了。如果是以其它的形式进行安装的 Kibana，请参阅链接 “Starting and stopping Kibana” 来运行 Kibana。我们可以看到如下的画面：

键入我们之前的内置用户名及密码：elastic/your_password。这里的 your_password 是之前我们设置的密码。然后，我们就可以看到如下的画面：

创建用户

在上面，我们已经使用内置用户 elastic 登录我们的 Kibana。现在我们去 Manage/Sercurity/Users 页面：

显示的页面如下：

在这个页面里，我们可以看到一些内置的用户。我们选择 Create new user。

在这里，我们输入选择我们的用户名及密码信息，然后点击 Create user。您会注意到，在创建用户时，您可以为其分配角色。目前前我们暂不分配一个角色 - 我们将在后续步骤中再回过头来看看。

我们可以点击 Management / Security / Roles来查 看我们的 role 列表：

每个角色定义一组特定的操作（如读取，创建或删除），这些操作可以在特定的安全资源（例如索引，别名，文档，字段或集群）上执行。 为了帮助您启动和运行，有内置角色。

我们将 kibana_use r角色分配给你的用户。 返回 Management / Security / Users 页面并选择你的用户。 添加 kibana_user 角色并保存更改。 例如：

通过这样的设置，这个 liuxg 的用户可以对 Kibana 进行所有功能的访问。我们可以点击 Kibana 最右角上方的一个图标进行logout，然后用最新创建的账号进行登录，看看是否成功。

我们可以为我们的账号创立一个 superuser 账号，这样这个账号基本上就会具有所有的 role。这个对我们做一些测试是非常有帮助的。

如果大家想知道如何对每个用户的权限进行管理的话，请参阅我的文章 “Elasticsearch：用户安全设置”。