安全整改紧急!Elasticsearch 默认端口 9200 太危险,3 分钟教你安全修改
我们这个项目是用一个脚本读取 yml 文件去拉取各程序包镜像的。表格参数核心作用默认值对外暴露http.port外部客户端访问 ES 的 HTTP API 端口9200是集群节点间内部通信的端口9300否关键结论1. 单节点场景下,只需关注http.port(保持默认 9200,通过 Docker 映射宿主机端口即可),无需修改;2. 多节点集群需确保端口在节点间互通,http.port仅用于外部
各位做项目、运维、渗透整改的朋友,一定遇到过这种灵魂拷问:
“你们Elasticsearch怎么还在用9200默认端口?
马上改!不改不给过等保、不通过安全渗透测试!”
去年我服务过的一个老客户,最近突然找到我。
一开口就是:单位里安全扫描出的报告要求ES默认端口必须换掉。
我当时心里一稳:不就是改个端口吗?小问题。
可真正打开项目的YML配置文件时,我人傻了:里面竟然没有写任何端口配置!
没端口参数、没映射说明、没注释。
网上搜、问 AI、问开发,一圈折腾下来,终于摸清门道。
今天这篇,我把修改ES端口最标准、最安全、一次成功的方法
完整讲给你,以后遇到安全整改,直接照着做就行!
一、开篇场景:为什么默认9200端口必须改?
在内网、政务、企业项目里,默认端口=高危风险。
安全渗透一扫描:
-
• 9200 端口直接暴露
-
• Elasticsearch 服务识别成功
-
• 漏洞等级:高风险
-
• 整改要求:必须更换非默认端口
不改?报告不给过、上线不让走、验收通不过。
更可怕的是:9200是全球皆知的ES端口。
黑客扫IP段,第一个扫的就是9200。
一旦没密码、没权限控制,数据直接被拖走。
所以,改ES端口不是可选,是必须!
可问题来了:很多人用Docker部署,用YML启动,配置里根本看不到端口。
到底在哪改?怎么改才不会翻车?
今天我把完整流程、原理、踩坑经验一次性讲透。
二、真实案例:我是怎么帮客户把 9200 改成 9400 的?
我先给你还原真实场景,你会发现:
你遇到的问题,和我遇到的一模一样。
案例 1:YML里找不到端口配置,我一度怀疑人生
客户项目是通过脚本读取YML→拉取镜像 →启动ES。
我打开YML找到ES那段,翻来翻去:
-
• 没有 ports
-
• 没有 http.port
-
• 没有 9200
-
• 没有 9300
我当时愣住:端口去哪了?
难道ES不需要端口?
后来问开发、查文档才明白:
Docker 镜像里自带了默认配置,不写就用默认9200/9300。
想改,必须手动加进YML。
案例 2:只改Docker映射端口,根本没用
很多人以为:
把宿主机端口改成9400,容器还是9200,就安全了。
大错特错!
安全扫描是进容器扫服务端口。
只要容器内ES仍然监听9200,照样报高危漏洞。
所以真正的整改是:
修改ES自身监听端口!
而不是只改Docker映射。
案例 3:只改http.port,启动失败
最开始我只加了http.port: 9400。
结果重启 ES 直接起不来,日志疯狂报错。
查了才知道:ES 两个端口,必须一起处理!
只改一个,集群通信炸了。
三、核心知识点:ES 个关键端口,90%的人分不清
改端口之前,你必须先懂这两个东西:
1)http.port(外部访问端口)
-
• 默认:9200
-
• 作用:给外部系统调用 API
-
• Kibana、Postman、业务系统、curl 都用它
-
• 安全扫描重点盯的就是它
2)transport.port(集群内部通信端口)
-
• 默认:9300
-
• 作用:节点之间互相通信
-
• 单节点也会启用,只是不对外通信
-
• 不修改会导致日志警告
一句话记住:
9200对外 → 必须改
9300对内 → 建议一起改
四、实操步骤:3分钟把ES端口从9200改成自定义端口
我们这个项目是用一个脚本读取 yml 文件去拉取各程序包镜像的。
第一步:打开YML 配置
找到 elasticsearch 服务配置段。
第二步:添加两行核心配置
http.port: 9400
transport.port: 9500
修改好 yml 文件后,重启镜像,就会发现 9200 端口已经访问不了啦,修改的 9400 端口可以访问。
到此端口整改就完成了。
为了加深一下知识点的记忆,来介绍一下 http.port和transport.port这两个参数。 在 Elasticsearch(ES)相关的yml 配置文件中,http.port和transport.port是控制ES网络端口的核心参数,分别对应HTTP通信端口和集群节点间通信端口。
一、核心含义与作用
1. http.port:HTTP 服务端口(对外提供 REST API)
-
• 作用:ES 暴露 HTTP/RESTful API 的端口,供外部客户端(如 Kibana、Postman、你的业务代码、curl 命令)访问 ES 的数据(查询、新增、删除索引等)。
-
• 默认值:
9200
2. transport.port:集群传输端口(节点间内部通信)
-
-
◦ 作用:ES 集群中多个节点之间互相通信的端口(比如主节点和数据节点同步数据、选举主节点、分片迁移等),仅用于集群内部,不对外暴露。
-
-
-
◦ 默认值:
9300(单节点集群可不用关注,多节点集群必须确保该端口互通)。
-
-
• 关键说明:
-
◦ 单节点 ES(
discovery.type=single-node)时,该端口仅本地监听,无需映射到宿主机; -
◦ 多节点集群时,需确保节点之间 9300 端口能互通(防火墙 / 安全组放行),否则集群无法组建。
-
二、配置注意事项
1. 端口范围与冲突
-
• 可指定单个端口(如
9200),也可指定端口范围(如9200-9299,ES 会自动选可用端口); -
• 需确保
http.port和transport.port不冲突,且未被容器内 / 宿主机其他程序占用。
2. 与 Docker 端口映射的区别
|
配置项 |
作用范围 |
Docker 映射逻辑 |
|---|---|---|
http.port |
容器内 ES 进程 |
宿主机端口 → 容器内 |
transport.port |
容器内 ES 进程 |
多节点集群时,需映射宿主机端口 → 容器内 9300 |
3. 单节点 vs 多节点配置示例
单节点(常用,如本地测试)
yaml
# 单节点无需集群通信,核心配置
discovery.type: single-node
http.port: 9200 # 保持默认即可
# transport.port 可省略,默认9300
多节点(集群场景)
yaml
# 节点1配置
node.name: node-1
cluster.name: my-es-cluster
http.port: 9200
transport.port: 9300
discovery.seed_hosts: ["node-2:9300", "node-3:9300"] # 指向其他节点的 transport.port
cluster.initial_master_nodes: ["node-1", "node-2", "node-3"]
# 节点2配置(类似)
node.name: node-2
cluster.name: my-es-cluster
http.port: 9200
transport.port: 9300
discovery.seed_hosts: ["node-1:9300", "node-3:9300"]
cluster.initial_master_nodes: ["node-1", "node-2", "node-3"]
三、总结
表格
|
参数 |
核心作用 |
默认值 |
对外暴露 |
|---|---|---|---|
http.port |
外部客户端访问 ES 的 HTTP API 端口 |
9200 |
是 |
transport.port |
集群节点间内部通信的端口 |
9300 |
否 |
关键结论:
-
1. 单节点场景下,只需关注
http.port(保持默认 9200,通过 Docker 映射宿主机端口即可),transport.port无需修改; -
2. 多节点集群需确保
transport.port端口在节点间互通,http.port仅用于外部访问; -
3. 你之前修改 Docker 映射的 9222 是宿主机端口,无需改动 ES 配置文件中的
http.port(仍保持 9200 即可)。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
4
0- 0
已为社区贡献4条内容
所有评论(0)