elasticsearch 的 head 插件为什么没有类似于 phpmyadmin 这样的密码认证系统?不安全吗?

2016-07-23 10:09:15 +08:00
 Reign

发现 ES 的 head 插件任何人都可以上,这样 ES 的官方也太大意了吧, head 插件有没有任何密码权限认证措施?

3350 次点击
所在节点    程序员
9 条回复
DravenJohnson
2016-07-23 10:18:27 +08:00
ES 其实基本都是内网使用的,似乎很少有外网公用的吧? Kibana 默认有个非常简单的密码系统,感觉也不安全
slixurd
2016-07-23 10:35:17 +08:00
如果你仔细看 head 的源代码,就发现它其实可以用 BasicAuth ,虽然只是 BasicAuth 这种最简单的协议。
另外为什么不做安全控制呢,因为要卖 SHIELD 啊.......
windfarer
2016-07-23 12:11:03 +08:00
这个还是不要暴露公网了吧, api 就有所有的权限
Suclogger
2016-07-23 12:38:19 +08:00
elasticsearch 有个收费的权限控制插件,如果是测试环境,换个端口应该影响不大
knightdf
2016-07-23 12:53:25 +08:00
本身 ES 就设计不对公网开放的,身份验证可以用 shield
Beebird
2016-07-23 14:26:13 +08:00
外面包一层 nginx , 设置 auth_basic_user_file 就可以了
maxsec
2016-07-23 20:45:36 +08:00
nginx 的 401 authorization required 够用了
crytis
2016-07-23 23:21:27 +08:00
有个插件 可以加密码 你搜一下
qinpengfei
2016-07-24 15:46:48 +08:00
Nginx 做一层代理 ,可以分不同接口去控制访问权限,再详细点就用 Lua 去控制 一个 github 的 gist 例子 https://gist.github.com/karmi/b0a9b4c111ed3023a52d

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/294354

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX