Authentification login/mdp Kibana

Elastic In Your Native Tongue Discussions en français
1

Bonjour à tous,

Je suis novice dans la centralisation des logs

Selon mes recherches Elastic Stack ne propose pas de s'authentifier pour accéder à Kibana et sécuriser les logs. Il faut installer Shield pour les versions avant 5.x, mais dans mon cas il s'agit d'une nouvelle installation dans la dernière version (6.7).

Shield est une option payante il me semble...

Savez-vous si il existe un équivalent à Shield pour la version 6.7. J'ai cru voir que X-Pack pourrait s'y substituer mais je me mélange les pinceaux.

Pouvez-vous m'aiguiller sur la sécurisation de l'interface web de Kibana avec la dernière version de Elastic Stack ?

Merci de votre compréhension

Guillaume

2

Salut,

La solution du pauvre :grinning: installer nginx et configurer un httpasswd, y'a plein de ressources sur stackoverflow.
Ca rajoutera un pop-up pour t’authentifier via un login/passwd pour accéder a kibana.

Un example de ce que j'utilise sur un serveur de dev j'y accède par l'url https://mon_domain.fr:9123

mon fichier de conf nginx:

http {
   auth_basic   "Authentication Required";
   # Use default htpasswd password file in /etc/nginx
   auth_basic_user_file htpasswd;
}
server {
    listen       9123 ssl;

   server_name mon_domain.fr;

    ssl                  on;

    ssl_certificate      /etc/letsencrypt/live/certificate.pem;
    ssl_certificate_key  /etc/letsencrypt/live/certificate_key.pem;
    ssl_dhparam "/etc/pki/nginx/dhparams.pem";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_protocols TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS;
    ssl_prefer_server_ciphers   on;
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

    location / {
        proxy_pass        http://127.0.0.1:5601;
        proxy_redirect    default;
        proxy_redirect    http://127.0.0.1:5601 /;
        proxy_set_header  Host            $host;
        proxy_set_header  X-Real-IP       $remote_addr;
        proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Suivant tes besoins si tu veux juste sécuriser l’accès c'est suffisant si tu veux un contrôle par ressources et plus de sécurité vaux mieux prendre la licence, et en plus avec la licence t'as accès a tout plein d'autres trucs.

2 Likes
3

Salut Gabriel,

Oui je pensais aussi à cette solution merci pour le fichier de conf :wink:

Vu que c'est une nouvelle installation on va tester avec X-Pack pendant la période d'essai puis on va passer sur la solution du pauvre.

Notre besoin c'est surtout sécuriser l'accès à l'interface web, pas besoin d'un contrôle d'accès par ressource pour l'instant.

Ou tester Graylog en même temps... Graylog dispose par défaut d'une authentification sur l'interface web.

Au passage avez-vous testé Graylog ?

Merci pour les informations j'y vois plus clair maintenant :+1:

Guillaume

4

J'ai pas testé Graylog car mon besoin principale n'est pas le traitement de logs mais j'utilise Elastic comme moteur de recherche ou principale base de données sur des sites web, on a totalement abandonné mysql sur les nouveaux projets.
Vu que j'ai déjà une demi douzaine d'instances avec elastic, et qu'il fait aussi des logs, je l'utilise pour les logs serveur (pas besoin de suivre plusieurs projets, courbe d'apprentissage etc...) et maintenant pour le module APM, qui est vraiment bon.

Bref je deviens dépendant a elastic, mais c'est de la bonne. :sweat_smile:

Le seul inconvénient c'est les breaking changes entre versions qui bloquent certains projets avec de vieilles versions. Le coût de l'upgrade du code est trop élevé, même si les nouvelles versions sont plus simple, avec les deprecated logs qui aident pas mal. 3615 mavie

1 Like
5

Non non s'est pas 3615 mavie ^^ C'est intéressant de partager votre expérience sur la solution Elastic.

Du coup on est partis sur graylog V3 finalement avec l'OVA directement fournit par graylog. Il y a eu une petite gymnastique à faire au début avec Ubuntu en version 18.04 et la configuration réseau qui a changé (passage de etc/network/interfaces à netplan.

Moment amusant au premier démarrage il ne faut pas manquer de noter le mdp de l'interface Web car si on les loupe comme ça été mon cas. Il faut générer un nouveau mdp en SHA2 et venir le modifier dans le fichier de conf de graylog.

C'est un peu comme un escape game finalement il faut essayer, se planter, trouver des indices sur le web et finalement y arriver :rofl:

6

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.