diff --git a/HowtoElasticsearch.md b/HowtoElasticsearch.md index 455cc504..5d572039 100644 --- a/HowtoElasticsearch.md +++ b/HowtoElasticsearch.md @@ -218,7 +218,8 @@ On check sur la page `/_cat/health` si le status n'est pas en **red**. /usr/lib/nagios/plugins/check_http -I 127.0.0.1 -u /_cat/health?h=st -p 9200 -r 'red' --invert-regex ~~~ -**Attention** : Il faut compléter cette commande avec les options suivantes si les options de sécurisation d'elasticsearch son activées ! (ie: Authentification HTTP & Chiffrement avec TLS) : +**Attention** : Il faut compléter cette commande avec les options suivantes si les options de sécurisation d'Elasticsearch son activées ! (ie: Authentification HTTP & Chiffrement avec TLS) : + * `--authorization 'remote_monitoring_user:xxxx'` - Pour l'authentification HTTP * `-S` - Utilisation de TLS @@ -262,7 +263,7 @@ heap_committed.value 2130051072 ## Sécurisation -Par défaut, elasticsearch n'est absolument pas sécurisé. Il a donc plusieurs opérations à faire pour sécuriser un nœud ou un cluster. +Par défaut, Elasticsearch n'est absolument pas sécurisé. Il a donc plusieurs opérations à faire pour sécuriser un nœud ou un cluster. Elastic définit 3 niveaux de sécurisation : @@ -270,7 +271,7 @@ Elastic définit 3 niveaux de sécurisation : * Basique (Environnement de production) : Authentification HTTP + Chiffrement inter-nœuds * Basique avec chiffrement des connexion clients : Authentification HTTP + Chiffrement inter-nœuds + HTTPS sur l'interface REST -Pour aller plus loin, c'est expliqué en détail dans la documentation d'elasticsearch +Pour aller plus loin, c'est expliqué en détail dans la documentation d'Elasticsearch ### Authentification HTTP @@ -357,7 +358,7 @@ Puis redémarrer Kibana `systemctl restart kibana` ### Passage en HTTPS -Il y a plusieurs options pour. Le plus simple est de générer une PKI spéciale au cluster elastic avec les outils proposés. +Il y a plusieurs options pour. Le plus simple est de générer une PKI spéciale au cluster Elasticsearch avec les outils proposés. #### Amorce de la PKI @@ -694,10 +695,10 @@ On récupère ainsi une archive zip contenant tous les fichiers nécessaires : 2 directories, 7 files ~~~ -Le dossier `elasticsearch` contient le fichier certificat + clé au format *p12* pour elasticsearch ainsi qu'un extrait de configuration d'exemple pour configurer le HTTPS client. Le dossier `kibana` contient le certificat de la CA (pour pouvoir valider le certificat donné par le serveur elastic) ainsi qu'un extrait de configuration d'exemple pour activer le tls client. +Le dossier `elasticsearch` contient le fichier certificat + clé au format *p12* pour Elasticsearch ainsi qu'un extrait de configuration d'exemple pour configurer le HTTPS client. Le dossier `kibana` contient le certificat de la CA (pour pouvoir valider le certificat donné par le serveur Elasticsearch) ainsi qu'un extrait de configuration d'exemple pour activer le tls client. -> **Note** On pourra ré-utiliser le certificat CA `kibana/elasticsearch-ca.pem` avec tous les services/logiciels clients du cluster elastic pour pouvoir vérifier la validité du certificat donné par le serveur. +> **Note** On pourra ré-utiliser le certificat CA `kibana/elasticsearch-ca.pem` avec tous les services/logiciels clients du cluster Elasticsearch pour pouvoir vérifier la validité du certificat donné par le serveur. On déplace les fichiers aux bons endroits