Python 堡垒机介绍
生活随笔
收集整理的這篇文章主要介紹了
Python 堡垒机介绍
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
堡壘機說明 由于運維行業流動性很高,也為了防止有人在服務中殘留后門,照成安全隱患,在這里我們使用堡壘機保證服務器管理安全。 我們知道運維人員在登陸服務時需要登陸用戶,從客戶端到服務端的過程中堡壘機,將成為一個跳板的角色。堡壘機內有一個獨立的管理員,專門為運維人員創建用戶,其他創建用戶并不能直接訪問堡壘機,對于其他用戶來說,堡壘機是透明的。運維人員可以通過這些用戶到達指定服務端,這個用戶在服務中的所有操作都會被詳細記錄,上傳的文件會在堡壘機中審計,這樣如果系統出現問題,就可以通過堡壘機來鎖定具體是哪個用戶照成的。 堡壘機功能實現:堡壘機是通過重新封裝了SSH來實現的。 需求:
兼顧業務安全目標與用戶體驗,堡壘機部署后,不應使用戶訪問業務系統的訪問變的復雜,否則工作將很難推進,因為沒人喜歡改變現狀,尤其是改變后生活變得更艱難 保證堡壘機穩定安全運行, 沒有100%的把握,不要上線任何新系統,即使有100%把握,也要做好最壞的打算,想好故障預案 功能需求: 所有的用戶操作日志要保留在數據庫中 每個用戶登錄堡壘機后,只需要選擇具體要訪問的設置,就連接上了,不需要再輸入目標機器的訪問密碼 允許用戶對不同的目標設備有不同的訪問權限,例: 對10.0.2.34 有mysql 用戶的權限 對192.168.3.22 有root用戶的權限 對172.33.24.55 沒任何權限 分組管理,即可以對設置進行分組,允許用戶訪問某組機器,但對組里的不同機器依然有不同的訪問權限
- 1.權限可控
- 2.用戶行為審計
- (外網)客戶端登陸--> (外網,專網)跳板機(公共賬戶)--> 服務器(專網)
- 堡壘機用戶登陸 客戶端-->?登陸堡壘機,記錄登陸用戶,記錄登陸用戶,記錄使用命令-->?登陸服務器
?
主流堡壘機: 不開源- 齊治 堡壘機 ((修改源生ssh)360投資)
- jumpserver (python 開源不穩定(不適合生產環境))
- creazyeye (python 開源不穩定(不適合生產環境))
?
集中式認證:- ldap允許認證( 域 )
- 優點:建立一個用戶,管理多臺機器。
- 缺點:登陸所有機器,不安全。
- 使用環境:局域網多臺機器。
審計管理
審計管理其實很簡單,就是把用戶的所有操作都紀錄下來,以備日后的審計或者事故后的追責。在紀錄用戶操作的過程中有一個問題要注意,就是這個紀錄對于操作用戶來講是不可見的,什么意思?就是指,無論用戶愿不愿意,他的操作都會被紀錄下來,并且,他自己如果不想操作被紀錄下來,或想刪除已紀錄的內容,這些都是他做不到的,這就要求操作日志對用戶來講是不可見和不可訪問的,通過堡壘機就可以很好的實現。 堡壘機架構? 堡壘機的主要作用權限控制和用戶行為審計,堡壘機就像一個城堡的大門,城堡里的所有建筑就是你不同的業務系統 , 每個想進入城堡的人都必須經過城堡大門并經過大門守衛的授權,每個進入城堡的人必須且只能嚴格按守衛的分配進入指定的建筑,且每個建筑物還有自己的權限訪問控制,不同級別的人可以到建筑物里不同樓層的訪問級別也是不一樣的。還有就是,每個進入城堡的人的所有行為和足跡都會被嚴格的監控和紀錄下來,一旦發生犯罪事件,城堡管理人員就可以通過這些監控紀錄來追蹤責任人。 堡壘要想成功完全記到他的作用,只靠堡壘機本身是不夠的, 還需要一系列安全上對用戶進行限制的配合,堡壘機部署上后,同時要確保你的網絡達到以下條件:- 所有人包括運維、開發等任何需要訪問業務系統的人員,只能通過堡壘機訪問業務系統
- 回收所有對業務系統的訪問權限,做到除了堡壘機管理人員,沒有人知道業務系統任何機器的登錄密碼
- 網絡上限制所有人員只能通過堡壘機的跳轉才能訪問業務系統?
- 確保除了堡壘機管理員之外,所有其它人對堡壘機本身無任何操作權限,只有一個登錄跳轉功能
- 確保用戶的操作紀錄不能被用戶自己以任何方式獲取到并篡改
堡壘機功能實現需求
業務需求:?
設計表結構:?
?
轉載于:https://www.cnblogs.com/xiangsikai/p/8336960.html
總結
以上是生活随笔為你收集整理的Python 堡垒机介绍的全部內容,希望文章能夠幫你解決所遇到的問題。
