麋鹿安全。藏匿,击败藏匿

时间:2017-10-10 12:08:50

标签: security elasticsearch debian logstash filebeat

我们正在将我们的记录从外部合作伙伴转移到我们自己的内部。 ELK几乎是设置和工作。 但是以某种方式确保节拍与存储连接不起作用。 已安装X-pack。 Filebeat也在使用中。

你们是如何保护自己的ELK的? 我尝试了来自HEREHERE的内容,以及几乎所有来自旧谷歌的内容。

编辑:一切都在运行。所以下一步就是保护filebeat到logstash连接......这根本不适用于包含在x-pack中的certificate-creation-tool-thingy。 来自LogstashLog:

"[ERROR][logstash.inputs.beats    ] Looks like you either have an invalid key or your private key was not in PKCS8 format. {:exception=>java.lang.IllegalArgumentException: File does not contain valid private key: bla/bla/bla.key"

已经有了它的PKCS8格式,但它也给出了同样的错误..

来自FilebeatLog:

"ERR Connecting error publishing events (retrying): read tcp xxx.xxx.x.xxx:49914->yyy.yyy.y.yyy:5043: i/o timeout"

先谢谢

编辑部2:我现在已经重做了一千次。仍然是相同的错误。 如果我在.key文件上更改某些内容,例如权限,则使用:

"chmod 644 ca.key"

..我得到了一个不同的错误:

"[INFO ][org.logstash.beats.BeatsHandler] Exception: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt, from: /xxx.xxx.x.xxx:"

...转换为同伴拒绝的连接..

有人有想法吗? EDIT3:

..如果我测试连接:

"openssl s_client -connect yyy.yyy.y.yyy:aaaa"

它有效。我可以连接。但是:

"verify error:num=18:self signed certificate"

现在FilebeatLog告诉我:

"x509: cannot validate certificate for yyy.yyy.y.yyy because it doesn't contain any IP SANs"

..这是总BS。我按照那些指导:[HERE] [3]和这个:[HERE] [4]。 (我无法发布'声誉限制的原因。)

下一页编辑: 在我的第三次证书娱乐后。有用! WUHUU。但是,再次:错误。是的,没什么不好,但我想理解这一点。

"Verify return code: 21 (unable to verify the first certificate)"

为什么?

NEXT EDIT2:重新启动后,它变为dis:

"depth=0 CN = yyyy
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = yyyy
verify error:num=21:unable to verify the first certificate
verify return:1
140581134010112:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1399:SSL alert number 40"

仍然:为什么?

所以,对于大多数人来说,这个问题太复杂了。

我的最后一个问题是:

Logstash-Log显示" OPENSSL_internal:PEER_DID_NOT_RETURN_A_CERTIFICATE" Filebeat-Log显示" ERR无法发布由以下原因引起的事件:write tcp xxx.xxx.x.xxx:xxxxx->yyy.yyy.y.yyy:yyyy:write:peer reset by peer INFO错误发布事件(重试):写tcp xxx.xxx.x.xxx:xxxxx->yyy.yyy.y.yyy:yyyy:写:连接由同行重置"

..甚至在更新所有证书之后。如果我用openssl连接它可以工作,如果我不使用curl。 关于为什么以及如何做的任何想法?

由于

1 个答案:

答案 0 :(得分:0)

在关注了多篇有关如何设置它的文章之后,我遇到了其中任何一个都未提及的内容。 (也许是它的新增功能?)

在Logstash 7.2.0中,配置ssl_certificate_authorities => ["/etc/logstash/pki/ca.crt"]时-这将强制服务器验证客户端证书(称为Mutual TLS)。

我不得不将其从logstash配置中删除,并且解决了OPENSSL_internal:PEER_DID_NOT_RETURN_A_CERTIFICATE错误。

logstash输入配置如下:

input {
  beats {
    port => 5044
    ssl => true
    ssl_certificate => ".../server.crt"
    ssl_key => ".../server.key"
    ssl_verify_mode => "none"
  }
}
相关问题
最新问题