当前位置: 首页 > news >正文

(修复方案)kibana 未授权访问漏洞

news 2026/5/12 9:50:24

(修复方案)kibana 未授权访问漏洞

  • 1. 存在未授权访问,启用 xpack.security
  • 2. 不支持xpack,可以使用反向代理添加认证
  • 3. 设置访问白名单

1. 存在未授权访问,启用 xpack.security

(1)在 kibana.yml 中添加

elasticsearch.username:"kibana_system"elasticsearch.password:"your-password"xpack.security.enabled:true

(2)然后在 Elasticsearch 中启用内置用户并设置密码:

./bin/elasticsearch-setup-passwords interactive

(3)重启 Kibana 和 Elasticsearch 后,即可通过用户名密码访问

2. 不支持xpack,可以使用反向代理添加认证

在 Nginx 或 Apache 反向代理前面加一层 Basic Auth 或 OAuth 认证,以 Nginx + Basic Auth 为例:

(1) 安装 htpasswd 工具,这个工具用来生成 Basic Auth 的用户名密码文件

# CentOS/RHELsudoyuminstallhttpd-tools -y# Ubuntu/Debiansudoapt-getinstallapache2-utils -y

(2)创建认证文件

# admin 是用户名,输入后会让你设密码# 认证文件路径 /etc/nginx/.htpasswd 可以自定义sudohtpasswd -c /etc/nginx/.htpasswd admin

(3)配置 Nginx 反向代理

server{listen80;server_name kibana.example.com;location /{auth_basic"Restricted Access";auth_basic_user_file /etc/nginx/.htpasswd;proxy_pass http://127.0.0.1:5601;proxy_http_version1.1;proxy_set_header Upgrade$http_upgrade;proxy_set_header Connection'upgrade';proxy_set_header Host$host;proxy_cache_bypass$http_upgrade;}}

(4)重启 Nginx

sudosystemctl restart nginx

此时访问 http://kibana.example.com 时会要求输入账号密码

3. 设置访问白名单

仅允许内网或特定 IP 访问 Kibana 服务,在 kibana.yml 中配置绑定地址:

server.host:"127.0.0.1"

随后重启 Kibana

http://www.jsqmd.com/news/333757/

相关文章:

  • 宣城市英语雅思培训机构推荐,2026权威测评出国雅思辅导机构口碑榜单 - 老周说教育
  • Go 语言系统编程与云原生开发实战(第7篇)分布式系统核心能力:配置中心 × 链路追踪 × 熔断降级(生产级落地)
  • (修复方案)CVE-2022-21587: Oracle E-Business Suite 访问控制错误漏洞
  • 阜阳市英语雅思培训机构推荐、2026权威测评出国雅思辅导机构口碑榜单 - 老周说教育
  • 基于JAVA的大学生兼职雇佣系统(11867)
  • <span class=“js_title_inner“>让逻辑「漂」起来:阿里妈妈广告引擎Serverless(GaaS)架构揭秘</span>
  • linux安全加固
  • Go 语言系统编程与云原生开发实战(第6篇)云原生部署实战:Docker 镜像瘦身 × K8s 部署 × Helm 一键发布
  • 一句话说明白公司类型!
  • 阜阳市英语雅思培训机构推荐:2026权威测评出国雅思辅导机构口碑榜单 - 老周说教育
  • Linux忘记root密码后如何重置root密码
  • 聊聊整车试验那些事儿
  • (修复方案)CVE-2021-29441: Alibaba Nacos User-Agent 存在鉴权绕过
  • 开题报告 网上水果销售系统
  • 深度测评8个降AI率工具,千笔·专业降AI率智能体解决AIGC检测痛点
  • 专科生也能用!最受欢迎的AI论文写作软件 —— 千笔·专业学术智能体
  • Rust开源测试库rstest
  • 多品牌、多品类如何高效协同?国产PLM如何统一日化研发标准与流程
  • 人工智能大模型技术解析:程序员和小白的必读指南
  • 开题报告--学生宿舍管理系统
  • 导师严选8个降AIGC工具,千笔帮你彻底降AI率
  • SSM毕设项目:基于ssm的高校环保公益网站的设计与开发(源码+文档,讲解、调试运行,定制等)
  • 【毕业设计】基于ssm的高校环保公益网站的设计与开发(源码+文档+远程调试,全bao定制等)
  • 开发早餐食谱推荐工具,输入食材耗时(5/10/15分钟),推荐简单易做的早餐,附带步骤,支持收藏,帮上班族快速搞定早餐营养不将就。
  • 2026赶紧抓住风口!转行AI大模型,收入直接暴涨10倍+
  • 开题报告 人力资源管理系统
  • Substance P (1-7);Arg-Pro-Lys-Pro-Gln-Gln-Phe
  • 程序员必看:高效LLM Agent技术综述与实践指南(建议收藏)
  • 2026深圳东西部公交广告的流动画布:深圳市巴士广告有限公司执笔深圳巴士集团广告全域传播 - 深度智识库
  • 一文掌握BGE-M3向量模型:多语言检索增强技术的完整实现指南(建议收藏)