Elasticsearch 9.x 如何安全修改内置用户（如 elastic）密码？

一、现象层：为什么 Kibana UI 和 REST API 无法修改 elastic 用户密码？

在 Elasticsearch 9.x 中，elastic 是预置的超级用户（built-in user），其凭证由安全子系统严格管控。Kibana 的「Stack Management → Users」界面已移除对内置用户的编辑入口；调用 PUT _security/user/elastic 会返回 400 Bad Request 并附带错误信息："Cannot modify built-in user [elastic]"。这是由 SecurityIndexManager 在请求解析阶段主动拦截所致，属于硬编码级防护，非配置可绕过。

二、机制层：Elasticsearch 9.x 安全模型的演进与设计约束

• 默认启用 xpack.security.enabled: true，且禁用所有非 TLS 加密的 HTTP 管理端点
• 内置用户（elastic, kibana_system, logstash_system）密码存储于 .security-7 系统索引中，但该索引仅支持通过专用工具写入
• _security/user API 仅允许创建/更新 application users 和 role mapping users，内置用户字段（如 password）被显式标记为 readonly
• TLS 成为强制前置条件：未配置 xpack.security.http.ssl.* 时，elasticsearch-reset-password 工具将因无法建立 HTTPS 连接而失败（报错：sun.security.provider.certpath.SunCertPathBuilderException）

三、操作层：正确重置密码的完整流程与关键校验点

1. ✅ 验证集群健康状态：GET /_cluster/health?pretty
2. ✅ 检查 TLS 配置完整性（必须包含 certificate, key, certificate_authorities）
3. ✅ 备份 elasticsearch.yml 及 config/certs/ 目录（含 http.p12, transport.p12）
4. ✅ 在每个节点上执行：bin/elasticsearch-reset-password -u elastic -i（-i 强制交互确认，避免静默退出）
5. ✅ 记录新密码并立即更新 Kibana 的 elasticsearch.username/elasticsearch.password 配置

四、风险层：典型误操作及其级联故障分析

五、架构层：密码重置工具的底层执行逻辑（Mermaid 流程图）

%%{init: {'theme': 'base', 'themeVariables': { 'fontSize': '14px'}}}%%
flowchart TD
    A[启动 elasticsearch-reset-password] --> B{检查节点状态}
    B -->|未连接| C[报错：Unable to connect to Elasticsearch]
    B -->|已连接| D[验证 TLS 证书链有效性]
    D -->|失败| E[报错：SSLHandshakeException]
    D -->|成功| F[向 _security/credential/built_in_user/elastic 发起 POST]
    F --> G[Security Index 写入新哈希值]
    G --> H[广播 credential change event]
    H --> I[所有节点 reload 凭据缓存]

六、治理层：面向生产环境的密码生命周期管理建议

• 禁止将 elastic 密码用于应用直连——应创建具备最小权限的角色绑定用户
• 启用 xpack.security.authc.token.enabled: true 实现无密码 API 调用
• 定期轮换 elastic 密码（建议每 90 天），并配合自动化脚本同步更新 Kibana、Logstash、Beats 配置
• 将 elasticsearch-reset-password 命令封装为 Ansible Playbook，确保多节点原子性执行
• 审计日志中持续监控 connection_denied 和 authentication_failed 事件突增