ElasticSearch安全基线

禁止监听在公网

描述

ES服务监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。

加固

修改ES服务配置文件elasticsearch.yml的network.host配置: network.host: 127.0.0.1或者内网IP,然后重启服务。

ES禁用批量删除索引

描述

批量索引删除操作类似“rm -rf ”删库跑路操作,禁止披露删除可避免恶意或意外的批量删除索引。

加固

修改ES服务的配置文件elasticsearch.yml 增加如下配置,然后重启服务: action.destructive_requires_name: true  

版本存在安全漏洞

描述

ES以下版本存在漏洞容易被入侵

  1. ES 1.6.1 以下版本存在目录穿越漏洞 https://avd.aliyun.com/detail?id=AVD-2015-5531
  2. ES 1.2以下版本存在命令执行漏洞 https://avd.aliyun.com/detail?id=AVD-2014-3120
  3. ES 1.3.0 到 1.3.7, 1.4.0 到 1.4.2 存在命令执行漏洞 https://avd.aliyun.com/detail?id=AVD-2015-1427
  4. ES 7.10.0 到 7.13.3 版本存在信息泄露漏洞 https://avd.aliyun.com/detail?id=AVD-2021-22145

加固

更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。  

ES未授权访问

描述 ElasticSearch是一款Java编写的企业级搜索服务,未加固情况下启动服务存在未授权访问风险,可被非法查询或操作数据,需立即修复加固。 加固

  1. 限制http端口的IP访问,不对公网开放

修改主目录下 config/elasticsearch.yml 配置文件,将network.host配置为内网地址或者127.0.0.1 network.host: 127.0.0.1

  1. 使用x-pack插件为Elasticsearch访问增加登录验证 在主目录下运行bin/elasticsearch-plugin install x-pack 安装x-pack插件 config/elasticsearch.yml 配置文件增加以下配置

xpack.security.enabled: True
xpack.ml.enabled: true

运行命令bin/x-pack/setup-passwords interactive为ES服务设置密码 重启ES服务