elasticsearch 的 head 插件为什么没有类似于 phpmyadmin 这样的密码认证系统?不安全吗?
Reign · 2016-07-23 10:09:15 +08:00 · 3339 次点击这是一个创建于 2839 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现 ES 的 head 插件任何人都可以上,这样 ES 的官方也太大意了吧, head 插件有没有任何密码权限认证措施?
9 条回复 • 2016-07-24 15:46:48 +08:00
 |
1
DravenJohnson 2016-07-23 10:18:27 +08:00
ES 其实基本都是内网使用的,似乎很少有外网公用的吧? Kibana 默认有个非常简单的密码系统,感觉也不安全
|
 |
2
slixurd 2016-07-23 10:35:17 +08:00
如果你仔细看 head 的源代码,就发现它其实可以用 BasicAuth ,虽然只是 BasicAuth 这种最简单的协议。
另外为什么不做安全控制呢,因为要卖 SHIELD 啊....... |
 |
3
windfarer 2016-07-23 12:11:03 +08:00 via Android
这个还是不要暴露公网了吧, api 就有所有的权限
|
 |
4
Suclogger 2016-07-23 12:38:19 +08:00
elasticsearch 有个收费的权限控制插件,如果是测试环境,换个端口应该影响不大
|
 |
5
knightdf 2016-07-23 12:53:25 +08:00
本身 ES 就设计不对公网开放的,身份验证可以用 shield
|
 |
6
Beebird 2016-07-23 14:26:13 +08:00
外面包一层 nginx , 设置 auth_basic_user_file 就可以了
|
 |
7
maxsec 2016-07-23 20:45:36 +08:00
nginx 的 401 authorization required 够用了
|
 |
8
crytis 2016-07-23 23:21:27 +08:00 via iPhone
有个插件 可以加密码 你搜一下
|
 |
9
qinpengfei 2016-07-24 15:46:48 +08:00
Nginx 做一层代理 ,可以分不同接口去控制访问权限,再详细点就用 Lua 去控制 一个 github 的 gist 例子 https://gist.github.com/karmi/b0a9b4c111ed3023a52d
|
Select Language