求助各位大佬!!!
ES版本:7.3
系统:7.3
启用了xpack.security.enabled: true并配置了https和访问认证功能配置如下,近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473
##启动ES的浏览使用https方式
xpack.security.http.ssl.enabled: true
##验证主机名、ip、dns使用full,如果只验证证书使用certificate参数,如果不验证证书使用none参数
#xpack.security.http.ssl.verification_mode: certificate
##验证路径
xpack.security.http.ssl.keystore.path: /etc/elasticsearch/ca/my-es.p12
xpack.security.http.ssl.truststore.path: /etc/elasticsearch/ca/my-ES.p12
xpack.security.http.ssl.client_authentication: none
http.ssl访问证书时使用的密码信息存储在密钥库中
因使用了密码保护所以需要执行并且输入密码
elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password
近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473
描述:该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
ES版本:7.3
系统:7.3
启用了xpack.security.enabled: true并配置了https和访问认证功能配置如下,近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473
##启动ES的浏览使用https方式
xpack.security.http.ssl.enabled: true
##验证主机名、ip、dns使用full,如果只验证证书使用certificate参数,如果不验证证书使用none参数
#xpack.security.http.ssl.verification_mode: certificate
##验证路径
xpack.security.http.ssl.keystore.path: /etc/elasticsearch/ca/my-es.p12
xpack.security.http.ssl.truststore.path: /etc/elasticsearch/ca/my-ES.p12
xpack.security.http.ssl.client_authentication: none
http.ssl访问证书时使用的密码信息存储在密钥库中
因使用了密码保护所以需要执行并且输入密码
elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password
近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473
描述:该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
2 个回复
0c0c0f
赞同来自:
zqc0512 - andy zhou
赞同来自:
need update to 1.x+