禁止监听在公网
描述
ES服务监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。
加固
修改ES服务配置文件elasticsearch.yml的network.host配置: network.host: 127.0.0.1或者内网IP,然后重启服务。
ES禁用批量删除索引
描述
批量索引删除操作类似“rm -rf ”删库跑路操作,禁止披露删除可避免恶意或意外的批量删除索引。
加固
修改ES服务的配置文件elasticsearch.yml 增加如下配置,然后重启服务: action.destructive_requires_name: true
版本存在安全漏洞
描述
ES以下版本存在漏洞容易被入侵
- ES 1.6.1 以下版本存在目录穿越漏洞 https://avd.aliyun.com/detail?id=AVD-2015-5531
- ES 1.2以下版本存在命令执行漏洞 https://avd.aliyun.com/detail?id=AVD-2014-3120
- ES 1.3.0 到 1.3.7, 1.4.0 到 1.4.2 存在命令执行漏洞 https://avd.aliyun.com/detail?id=AVD-2015-1427
- ES 7.10.0 到 7.13.3 版本存在信息泄露漏洞 https://avd.aliyun.com/detail?id=AVD-2021-22145
加固
更新服务至最新版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。
ES未授权访问
描述
ElasticSearch是一款Java编写的企业级搜索服务,未加固情况下启动服务存在未授权访问风险,可被非法查询或操作数据,需立即修复加固。
加固
- 限制http端口的IP访问,不对公网开放
修改主目录下 config/elasticsearch.yml 配置文件,将network.host配置为内网地址或者127.0.0.1
network.host: 127.0.0.1
- 使用x-pack插件为Elasticsearch访问增加登录验证
在主目录下运行bin/elasticsearch-plugin install x-pack安装x-pack插件
config/elasticsearch.yml 配置文件增加以下配置
xpack.security.enabled: True xpack.ml.enabled: true
运行命令bin/x-pack/setup-passwords interactive为ES服务设置密码
重启ES服务