前言

Elasticsearch（以下简称ES）广泛应用于互联网企业(Github,Netflix,DigitalOcean...)，ES并未提供免费的安全插件来守护ES集群，对于一家商业公司这么做无可厚非，但这更说明ES安全模块的重要性。本文将简单介绍ES、ES的插件体系并着重介绍ES安全模块的实现。

ES 简介

ElasticSearch 是一个分布式，实时，全文搜索引擎。底层实现基于Lucene全文搜索引擎并提供了RESTful接口实现，数据以JSON文档的格式存储索引，不需要预先规定范式。

通用的应用场景包括：搜索引擎、NOSQL存储、ELK。

ES除了充分利用的Lucene提供的全文搜索功能还扩展了以下功能：

可搜索的分布式文件存储

实时分析的分布式搜索引擎

横向扩展非常容易，可处理PB级数据

ES 插件体系

和很多系统一样，ES也通过插件来增强系统核心功能。ES主要支持两种类型的插件：

Java插件 (Shield,SearchGuard)

该类型插件只包含Jar文件，通过拦截请求实现功能，且须安装在集群中的每个节点上并且需要重新启动后才能生效。

Site插件 (kopf,marvel)

site插件主要包含WEB资源文件，如Js、HTML、CSS，通过ES内嵌的服务器，可直接访问http://es-cluster:9200/_plugin/plugin 来查看相应的插件。

基于插件的安全实现

根据ES提供的插件机制，我们可以通过插件拦截请求实现以下安全控制：

拦截、认证HTTP、Transport请求

用户权限验证

审计功能

节点通信证书加密

SearchGuard简介

Search Guard 2(以下简称SG2)是一个提供了加密、认证、授权功能的ES开源插件（依赖Search Guard SSL插件）并且提供了细粒度到文档、字段级别的权限控制，是商业版Shield插件的开源替代。SG和Shield的实现大同小异，通过分析SG即可了解ES的安全模块的设计与实现。另：SG1版已废弃，不推荐使用。

下面简单介绍集成配置和关键源码（伪代码）简析。

配置

安装SG、SG-SSL插件

bin/plugin install -b com.floragunn/search-guard-ssl/version

bin/plugin install -b com.floragunn/search-guard-2/version

证书文件可自行提供或根据seaerch_guard_ssl提供的example-pki-scripts脚本文件生成。

ES配置

更新权限管理信息

生成新密码并替换sg_internal_users.yml

plugins/search-guard-2/tools/hasher.sh -p mycleartextpassword

启动ES，在sgconfig目录下设置好角色、用户权限,运行脚本将信息写入ES集群

plugins/search-guard-2/tools/sgadmin.sh -cd plugins/search-guard-2/sgconfig/ -ks plugins/search-guard-2/sgconfig/keystore.jks -ts plugins/search-guard-2/sgconfig/truststore.jks -nhnv