在 Elasticsearch 中很难找到严格安全所需的权限。 在本博客中,我将通过两个示例概述我用来查找所需权限的过程。
让我们创建一个只能与 index-* 索引和以 index1 别名交互的用户。 他们将能够:
我们创建如下的一个文档:
PUT index-1/_doc/1
{
"content": "This is Xiaoguo, Liu from Elastic"
}上面的文档创建一个叫做 index-1 的索引。我们在 Kibana 中创建一个叫做 index-* 的 index pattern 或者 data view。
我们可以参考文章 “Elasticsearch:Index alias” 来为这个索引创建一个叫做 index 的别名:
PUT index-1/_alias/index1我们首先创建一个具有 Kibana 开发工具控制台访问权限的新用户 test:
PUT _security/role/test
{
"applications" : [
{
"application" : "kibana-.kibana",
"privileges" : [
"feature_dev_tools.all"
],
"resources" : [
"space:default"
]
}
]
}PUT _security/user/test
{
"username": "test",
"password": "password",
"roles": [
"test"
],
"metadata": {},
"enabled": true
}在上面,我们创建了一个叫做 test 的用户。它的密码为 password,而它具有一个叫做 test 的角色(role)。你可以使用 Kibana 的界面来创建这些。请详细阅读文章 “Elasticsearch:用户安全设置”。我们可以在 Kibana 的界面中查看:
然后,我们可以以该用户身份登录并尝试我们的用户将执行的命令,并记下错误。 提示:使用不同的浏览器或同一浏览器的私人窗口。 这将使向我们的角色添加权限的步骤变得更加容易。
我们使用 test:password 来进行登录 Kibana。我们可以在浏览器 Chrome 中登录。例如,让我们获取我们的别名和索引:
错误消息的有趣部分是:
让我们来看看 view_index_metadata。我们需要在另外的一个浏览器(比如 Safari)中以 elastic 超级用户登录,并执行如下的命令:
PUT _security/role/test
{
"indices": [
{
"names": [
"index1",
"index-*"
],
"privileges": [
"view_index_metadata"
]
}
],
"applications" : [
{
"application" : "kibana-.kibana",
"privileges" : [
"feature_dev_tools.all"
],
"resources" : [
"space:default"
]
}
]
}
我们再次在 Chrome 浏览器中,在 test:password 的登录界面中,执行之前的命令:
显然通过添加 view_index_metadata 这个 privileges,上面的命令可以得到顺利的执行。
按照同样的步骤,我们在 Chrome 浏览器中,执行如下的命令:
很显然,在右边,我们看到了错误的信息。 从这里我们得到动作的描述:
我们看到了所需要的权限:[create_doc,create,index,write,all]。如果我们继续迭代,我们将获得以下角色。我们在另外一个以 elastic 登录的浏览器中打入如下的命令:
PUT _security/role/test
{
"indices": [
{
"names": [
"index1",
"index-*"
],
"privileges": [
"indices:admin/get",
"indices:data/write/index",
"indices:data/write/bulk",
"indices:admin/auto_create",
"indices:admin/mapping/auto_put"
]
}
],
"applications": [
{
"application": "kibana-.kibana",
"privileges": [
"feature_dev_tools.all"
],
"resources": [
"space:default"
]
}
]
}
经过执行上面的命令后,我们再次回到 Chrome 浏览器中,并执行如下的命令:
显然这次执行的命令是成功的。也就是说,向一个索引 index-1 写入文档,我们需要有上面定义的 test j角色具有如下的 privileges:
"indices:admin/get",
"indices:data/write/index",
"indices:data/write/bulk",
"indices:admin/auto_create",
"indices:admin/mapping/auto_put"对于我们想要发送的每个其他请求,我们也可以继续此操作。 在许多情况下,这有点过头了。 除非你的项目具有极其严格的安全需求,否则通常最好选择更全面的内置安全权限,如下所示:
PUT _security/role/test
{
"indices": [
{
"names": [
"index1",
"index-*"
],
"privileges": [
"all"
]
}
],
"applications": [
{
"application": "kibana-.kibana",
"privileges": [
"feature_dev_tools.all"
],
"resources": [
"space:default"
]
}
]
}不过要小心上面的这个特权,因为它还允许该用户删除这些索引。
具有集群级别(cluster-level)权限以查看 Elastic 主页和 ilm 策略的用户。
我们首先创建一个具有 Kibana Dev Tools 访问权限的新用户,如示例 1 所示,然后运行我们的命令:
GET /
GET _ilm/policy这给了我们:
为了解决这些问题,我们可以使用以下角色:
PUT _security/role/test
{
"cluster": [
"cluster:admin/ilm/get",
"cluster:monitor/main"
],
"applications": [
{
"application": "kibana-.kibana",
"privileges": [
"feature_dev_tools.all"
],
"resources": [
"space:default"
]
}
]
} 
我们再次运行上面的命令:
到目前为止,你可能已经注意到这些操作具有路径(即 cluster:admin/ilm/get)。 我们可以使用 cluster:admin/ilm 获得所有集群 ilm 权限,或者使用 cluster:admin 获得所有集群管理员权限。 路径越短,权限的限制就越少。
这篇文章展示了一种简单的方法来迭代获取用户所需操作所需的权限。 正如你所看到的,有太多的组合无法用内置角色覆盖它们,更不用说在某些文档中覆盖它们了。 我希望你发现这个简单的技巧很有用。
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案
我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby1.9+ 关于ruby-主要:Objectwhenrun
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2