Security Readonlyrest和Kibana权限配置

我正在尝试用Kibana设置一个基本的ReadOnlyList示例。我的配置如下：

readonlyrest:
enable: true
response_if_req_forbidden: Forbidden by ReadonlyREST ES plugin

access_control_rules:

- name: Accept requests from users in group team1 on index1
  type: allow
  hosts: [localhost,127.0.0.1,10.0.0.0/24]
  groups: ["team1"]
  actions: ["indices:data/read","indices:data/read/mge/*","indices:data/read/mget","indices:data/read/*","indices:data/write/*","indices:admin/template/*","indices:admin/create", "cluster:monitor/*"]
  indices: ["<no-index>", ".kibana*", "logstash*", "default" ,"sha*" ,"ba*"]

users:

- username: alice
  auth_key: alice:p455phrase
  groups: ["team1"]

我的配置中缺少什么

在kibana.yml中，配置为：

elasticsearch.username: "alice"
elasticsearch.password: "p455phrase"

---

如果您的用例是基本的kibana身份验证，那么您应该遵循以下步骤

一旦成功，就可以修改示例，将所需规则分配给组，并将组分配给硬编码用户

请记住，由于浏览器和Kibana之间的HTTP basic auth提供的安全级别很差，因此这不是一个生产就绪的解决方案：

浏览器将在每次请求时传递未加密的凭据

用户无法从Kibana“注销”

现在ReadonlyREST提供了两个Kibana插件（和），它们使用加密的Cookie修复了上述限制，并将注销按钮注入Kibana UI

---

30天试用期适用于

谢谢。如果我允许所有索引和所有操作，基本的kibana示例就可以工作。但我想做的是限制Kibana访问以sha和ba开头的指数。为了实现这一点，我添加了索引：[“，”.kibana“，“.kibana/*”，“default”，“sha*”，“ba*”]。这将导致权限错误。没有匹配的块，默认情况下禁止：{action:index:data/read/search，OA:127.0.0.1，index:[shakespearesha*]，M:POST，P://\msearch，C:{“index”：[“sha*”]，“ignore\u unavailable”：true}…我做了一些进一步的挖掘。readonlyrest似乎正在按预期工作。似乎当kibana启动时，它会使用logstash模式发出一个或多个请求。如果用户对logstash-*没有读取权限，则访问被拒绝。因此，现在的问题是如何防止kibana使用logstash索引模式发出此初始请求ern？不，不，我的意思是禁用elasticsearch的readonlyrest插件！在配置的开头有一个

enable:true

：）kibana状态保存在ES中一个名为

.kibana

的特殊索引中。这就是为什么我说：让kibana在禁用ES安全性的情况下保存其配置（包括索引模式）一次（或者为某些超级用户配置使用

kibana_访问权限：rw

的登录名）。然后只读用户应该可以看到仪表盘，只要链接已断开，有参考吗？

elasticsearch.username: "alice"
elasticsearch.password: "p455phrase"