Nginx 请求转发配置指南
2026/1/10 0:09:03
Elasticsearch 设置密码:从零构建安全集群的实战指南
你有没有遇到过这种情况?刚搭好的 Elasticsearch 集群,还没来得及高兴,就收到安全团队的警告:“你的 9200 端口暴露在公网,任何人都能读写数据!”
这不是危言耸听。每年都有大量因未启用身份验证而导致的数据泄露事件——索引被清空、敏感信息被拖库、甚至服务器被用来挖矿。而这一切,往往只需要一个简单的配置就能避免。
今天,我们就来手把手完成Elasticsearch 设置密码的全过程。不讲空话,只讲你在生产环境中真正用得上的硬核操作:证书怎么生成?配置文件怎么改?密码如何批量初始化?Kibana 和 Logstash 怎么对接?遇到问题又该如何排查?
准备好了吗?我们从最基础但最关键的一步开始。
为什么必须为 Elasticsearch 设置访问控制?
Elasticsearch 出厂默认是“裸奔”的——没有用户名、没有密码、没有加密通信。这对本地开发或许方便,但在任何接近生产的环境里,这都是致命的安全漏洞。
想象一下:
- 外部攻击者扫描到你的 IP:9200,直接curl -X DELETE /清空所有数据;
- 内部员工误操作,用 root 权限删掉了核心业务索引;
- 日志系统中的用户隐私字段(如身份证号)被任意查询导出……
这些风险都可以通过开启Security 模块来规避。自 7.0 版本起,Elastic 官方已将基础安全功能免费集成进开源版本,包括:
✅ 用户认证(用户名/密码)
✅ 基于角色的权限控制(RBAC)
✅ TLS 加密传输(节点间 + HTTP 接口)
✅ 审计日志记录关键操作
也就是说,你现在不需要花一分钱,就能给集群加上一层坚固的防护墙。
那具体该怎么做?别急,下面我会带你一步步走完全部流程。
核心组件解析:Security 模块是如何工作的?
在动手之前,先搞清楚背后的机制,才能避免“照抄配置却不知道为什么失败”。
Security 的四大支柱
Authentication(认证)
谁可以登录?支持本地用户、LDAP、SAML 等多种方式。本文聚焦最常用的本地账户 + 密码。Authorization(授权)
登录后能做什么?通过角色(Role)分配权限,比如“只能查订单索引”或“可管理监控指标”。Encryption(加密)
数据传输是否安全?使用 TLS/SSL 对节点之间以及客户端与节点之间的通信进行加密,防止中间人窃听。Auditing(审计)
谁在什么时候做了什么?记录登录尝试、删除操作等行为,用于事后追责和合规检查。
这四个环节环环相扣,缺一不可。接下来的所有配置,都是围绕它们展开的。
⚠️ 注意:虽然免费版包含上述功能,但像 AD 集成、审计日志持久化到外部存储等高级特性仍需订阅 Gold 或更高许可证。
实战第一步:生成证书,开启 TLS 加密
即使设置了密码,如果通信明文传输,密码也会被嗅探。所以,TLS 加密是前提。
幸运的是,Elastic 提供了一个神器:elasticsearch-certutil,它可以一键生成整套 PKI 证书体系。
1. 生成 CA(证书颁发机构)
bin/elasticsearch-certutil ca --out config/certs/elastic-stack-ca.p12 --pass ""执行后会生成一个名为elastic-stack-ca.p12的文件,这就是我们的“根证书”。它用来签发所有节点证书,并作为信任锚点。
🔐 生产建议:不要留空密码!这里为了演示简化流程,实际应设置强密码并妥善保管。
2. 生成节点证书
bin/elasticsearch-certutil cert \ --ca config/certs/elastic-stack-ca.p12 \ --ca-pass "" \ --out config/certs/elastic-nodes.p12 \ --pass ""这条命令基于刚才的 CA,为集群中所有节点生成一份通用证书(.p12文件),包含了私钥和公钥。
📦 小贴士:如果是多节点集群,这个
.p12文件需要复制到每一个节点的config/certs/目录下。
第二步:修改 elasticsearch.yml,启用安全功能
现在有了证书,下一步就是告诉 Elasticsearch:“我要开始搞安全了。”
打开config/elasticsearch.yml,添加以下内容:
# 启用安全模块 xpack.security.enabled: true # 启用传输层 TLS(节点间通信) xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.key: certs/elastic-nodes.p12 xpack.security.transport.ssl.certificate: certs/elastic-nodes.p12 xpack.security.transport.ssl.certificate_authorities: certs/elastic-stack-ca.p12 # 启用 HTTP 层 TLS(客户端访问) xpack.security.http.ssl.enabled: true xpack.security.http.ssl.key: certs/elastic-nodes.p12 xpack.security.http.ssl.certificate: certs/elastic-nodes.p12关键参数说明:
| 参数 | 作用 |
|---|---|
xpack.security.enabled | 是否开启安全功能 |
transport.ssl.* | 控制节点之间是否加密通信 |
http.ssl.* | 控制 REST API(9200 端口)是否启用 HTTPS |
certificate_authorities | 指定信任的 CA,用于验证对方身份 |
🔒 安全提醒:
- 所有.p12文件都应设置严格的文件权限:chmod 600 config/certs/*
- 不要把证书提交到 Git 仓库!
第三步:启动集群并初始化用户密码
做完以上配置后,重启 Elasticsearch。首次启用 Security 模块时,系统并不会自动创建用户密码,你需要手动运行工具来完成这一步。
Elastic 提供了两个模式:
方法一:交互式设置(适合调试)
bin/elasticsearch-setup-passwords interactive运行后你会看到类似输出:
Initiating the setup of passwords for reserved users elastic,kibana,logstash_system,beats_system,apm_system,remote_monitoring_user. You will be prompted to enter passwords as the process progresses. Enter password for [elastic]: Reenter password for [elastic]: Enter password for [kibana]: ...一个个输入即可。记住,elastic是超级管理员账号,务必设一个高强度密码。
方法二:自动化部署(推荐用于 CI/CD 或容器化)
如果你在 Kubernetes 或 Ansible 中部署,显然不能人工干预。这时可以用auto模式:
# 先准备好引导密码 echo "MyStr0ngP@ssw0rd!" > /tmp/bootstrap.txt # 自动为所有内置用户设置相同长度的随机密码,并输出到终端 bin/elasticsearch-setup-passwords auto --batch --stdin < /tmp/bootstrap.txt执行完成后,终端会打印出每个用户的用户名和密码,例如:
PASSWORD elastic = dslfj32dslfj32dskfj PASSWORD kibana = sldkfj3232dsfjklds ...🚨立刻保存这些信息!清除屏幕历史记录!否则等于把钥匙挂在门上。
第四步:验证安全性是否生效
别以为配置完就万事大吉,一定要亲自测试。
测试 1:无认证访问 → 应该失败
curl http://localhost:9200预期响应:
{ "error": { "root_cause": [{ "type": "security_exception", "reason": "missing authentication credentials" }], "status": 401 } }出现 401,说明认证已生效。
测试 2:带密码访问 → 应该成功
curl -u elastic:your_password https://localhost:9200 --insecure💡 因为我们用了自签名证书,所以加
--insecure忽略证书验证(仅测试用)。生产环境应导入 CA 证书。
你应该能看到正常的集群信息返回。
第五步:配置下游组件连接安全集群
光自己安全还不够,Kibana、Logstash 这些“兄弟”也得跟上节奏。
配置 Kibana(kibana.yml)
# Elasticsearch 连接账户 elasticsearch.username: "kibana" elasticsearch.password: "your_kibana_password" # 如果启用了 HTTPS elasticsearch.hosts: ["https://es-node1:9200", "https://es-node2:9200"] # 启用证书验证(生产必开) elasticsearch.ssl.certificateAuthorities: /path/to/elastic-stack-ca.pem❗ 注意:
.p12不能直接给 Kibana 用,需要用 OpenSSL 转成 PEM 格式:
bash openssl pkcs12 -in config/certs/elastic-stack-ca.p12 -out config/certs/ca.pem -nokeys -nodes
配置 Logstash(logstash.conf)
output { elasticsearch { hosts => ["https://es-node:9200"] user => "logstash_writer" password => "secure_password" ssl_certificate_verification => true cacert => "/path/to/ca.pem" } }常见坑点与解决方案
❌ 问题 1:重启后无法组成集群,“No alive nodes found”
可能原因:节点间 TLS 握手失败。
排查步骤:
1. 检查elasticsearch.yml中transport.ssl.*路径是否正确;
2. 确保证书已复制到所有节点;
3. 查看日志logs/*.log是否有SSLHandshakeException;
4. 确认防火墙是否放行 9300 端口。
❌ 问题 2:setup-passwords报错 “Cluster is not ready”
错误信息:
Failed to establish connection to cluster. Reason: java.net.ConnectException: Connection refused原因:集群尚未完全启动或健康状态异常。
解决办法:
- 等待节点状态变为green;
- 使用GET /_cluster/health检查节点数量;
- 确保磁盘空间充足(低于 85% 水位线);
- 单节点集群需设置discovery.type: single-node。
❌ 问题 3:Kibana 显示“Unable to retrieve version information”
表面现象:登录页面卡住,浏览器报错。
真相:Kibana 无法连接 ES,通常是用户名密码错误或证书未信任。
解决方案:
1. 检查kibana.yml中的username/password是否匹配新设置;
2. 确认ssl.certificateAuthorities指向正确的 CA PEM 文件;
3. 重启 Kibana 服务。
设计取舍:测试环境 vs 生产环境
| 维度 | 开发/测试环境 | 生产环境 |
|---|---|---|
| TLS 加密 | 可关闭简化调试 | 必须全程加密 |
| 密码策略 | 可用简单密码 | 强制复杂度 + 定期轮换 |
| 用户使用 | 直接用elastic | 创建专用服务账号 |
| 审计日志 | 可关闭 | 必须开启并归档 |
| 网络暴露 | 本地回环即可 | 结合防火墙/IP 白名单 |
✅ 最佳实践建议:
-最小权限原则:绝不让应用直接使用elastic用户;
-API Key 替代静态密码:对于脚本任务,优先使用短期有效的 API Key;
-定期轮换凭证:高权限账户至少每 90 天更换一次密码;
-结合网络层防护:即使有密码,也要限制 9200/9300 端口的访问源 IP。
写在最后:安全不是一次性任务
完成“Elasticsearch 设置密码”只是起点,而不是终点。
真正的安全是一个持续的过程:
- 新增索引时,要及时配置访问权限;
- 人员离职时,要立即禁用相关账户;
- 发现异常登录时,要能快速溯源;
- 架构升级时,要考虑集成 LDAP/OIDC 实现统一身份管理。
未来,随着零信任架构的普及,我们可能会看到更多动态令牌、MFA 多因素认证、服务网格联动等新形态的安全实践融入 Elastic Stack。
但现在,只要你按照本文完成了基础安全加固,就已经甩开了 80% 的“裸奔”集群。
下一步你可以探索:
- 如何创建自定义角色,实现索引级别的细粒度控制?
- 如何启用审计日志并将其发送到 SIEM 平台?
- 如何结合 Fleet 和 Agent 实现端到端的安全可观测性?
如果你正在搭建 ELK 栈,欢迎在评论区分享你的实践经验,我们一起讨论更优解。