V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Reign
V2EX  ›  程序员

elasticsearch 的 head 插件为什么没有类似于 phpmyadmin 这样的密码认证系统?不安全吗?

  •  
  •   Reign · 2016-07-23 10:09:15 +08:00 · 3440 次点击
    这是一个创建于 3046 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现 ES 的 head 插件任何人都可以上,这样 ES 的官方也太大意了吧, head 插件有没有任何密码权限认证措施?

    9 条回复    2016-07-24 15:46:48 +08:00
    DravenJohnson
        1
    DravenJohnson  
       2016-07-23 10:18:27 +08:00
    ES 其实基本都是内网使用的,似乎很少有外网公用的吧? Kibana 默认有个非常简单的密码系统,感觉也不安全
    slixurd
        2
    slixurd  
       2016-07-23 10:35:17 +08:00
    如果你仔细看 head 的源代码,就发现它其实可以用 BasicAuth ,虽然只是 BasicAuth 这种最简单的协议。
    另外为什么不做安全控制呢,因为要卖 SHIELD 啊.......
    windfarer
        3
    windfarer  
       2016-07-23 12:11:03 +08:00 via Android
    这个还是不要暴露公网了吧, api 就有所有的权限
    Suclogger
        4
    Suclogger  
       2016-07-23 12:38:19 +08:00
    elasticsearch 有个收费的权限控制插件,如果是测试环境,换个端口应该影响不大
    knightdf
        5
    knightdf  
       2016-07-23 12:53:25 +08:00
    本身 ES 就设计不对公网开放的,身份验证可以用 shield
    Beebird
        6
    Beebird  
       2016-07-23 14:26:13 +08:00
    外面包一层 nginx , 设置 auth_basic_user_file 就可以了
    maxsec
        7
    maxsec  
       2016-07-23 20:45:36 +08:00
    nginx 的 401 authorization required 够用了
    crytis
        8
    crytis  
       2016-07-23 23:21:27 +08:00 via iPhone
    有个插件 可以加密码 你搜一下
    qinpengfei
        9
    qinpengfei  
       2016-07-24 15:46:48 +08:00
    Nginx 做一层代理 ,可以分不同接口去控制访问权限,再详细点就用 Lua 去控制 一个 github 的 gist 例子 https://gist.github.com/karmi/b0a9b4c111ed3023a52d
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2676 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:46 · PVG 18:46 · LAX 02:46 · JFK 05:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.