一金抡、運(yùn)維堡壘機(jī)功能需求
? ? ? 服務(wù)器運(yùn)維,對于互聯(lián)網(wǎng)公司腌且,是一個(gè)常態(tài)化梗肝,剛需的場景,主要使用人員有運(yùn)維铺董、DBA巫击、開發(fā)、測試精续,這些人希望能便捷進(jìn)行服務(wù)運(yùn)維坝锰,關(guān)注操作體驗(yàn);從安全或公司管理層面重付,希望能做好權(quán)限控制和安全審計(jì)顷级,關(guān)注風(fēng)險(xiǎn)。
? ? ? ?所以開發(fā)出一款易用确垫、易管理弓颈、安全性高的的堡壘機(jī),是互聯(lián)網(wǎng)公司的普遍需求删掀,個(gè)人用過商用堡壘機(jī)翔冀、開源堡壘機(jī),目前公司使用的堡壘機(jī)效果比較好披泪,特別感謝之前負(fù)責(zé)堡壘機(jī)開發(fā)的同學(xué)纤子,下面給大家分享堡壘機(jī)使用經(jīng)驗(yàn)。
二、堡壘機(jī)選擇(開源VS商用)
比如我們之前公司使用市面上比較成熟的某堡壘機(jī)品牌控硼,使用過程中整體順利泽论,但是最大的問題當(dāng)自動(dòng)化能力糟糕,沒辦法跟運(yùn)維系統(tǒng)結(jié)合象颖,比如和資產(chǎn)CMDB聯(lián)動(dòng)佩厚、比如堡壘機(jī)工單系統(tǒng)對接自動(dòng)執(zhí)行,自助操作等说订,都無法實(shí)現(xiàn)抄瓦。
? ? ? ?所以互聯(lián)網(wǎng)公司,如果有能力陶冷,建議在開源堡壘機(jī)基礎(chǔ)上二次開發(fā)钙姊,下面就介紹我們基于jumpserver上二次開發(fā)的堡壘機(jī)。
三埂伦、堡壘機(jī)架構(gòu)和設(shè)計(jì)
在Jumpserver的基礎(chǔ)上增加了基于TOTP的雙因素認(rèn)證煞额、Windows圖形界面訪問審計(jì)、自動(dòng)化同步CMDB主機(jī)沾谜、文件導(dǎo)入導(dǎo)出膊毁、自動(dòng)修改密碼等功能。
主要使用了以下開源軟件:jumpserver基跑、xrdp婚温、vnc-server、rdesktop媳否、recordmydesktop栅螟、proftpd、ansible篱竭、nginx力图、mysql等。
1掺逼、Jumpserver堡壘機(jī):主體系統(tǒng)
2吃媒、Xrdp、vnc-server坪圾、rdesktop晓折、recordmydesktop:用于提供遠(yuǎn)程桌面服務(wù)、錄屏(新版jumpserver已經(jīng)有支持windows)
3兽泄、SFTP服務(wù)器:安裝proftpd服務(wù)漓概,提供文件上傳下載功能。
4病梢、Ansible:批量推送胃珍、批量改密等梁肿。
5、Google Authenticator:用于提供谷歌二次動(dòng)態(tài)口令認(rèn)證服務(wù)觅彰。
四吩蔑、堡壘機(jī)主要功能詳細(xì)介紹
1、資源創(chuàng)建和初始化
第一步:服務(wù)器初始化填抬,創(chuàng)建堡壘機(jī)使用的安全用戶
第二步:數(shù)據(jù)同步到CMDB
第三步烛芬、堡壘機(jī)定期從CMDB讀取數(shù)據(jù),創(chuàng)建各類賬號(如運(yùn)維賬號飒责、程序用戶赘娄、日志用戶等,基于ssh公鑰免密)宏蛉,這樣堡壘機(jī)就接管了用戶遣臼。
2、用戶權(quán)限申請
使用用戶郵箱作為賬戶申請拾并,申請完成后揍堰,會(huì)將用戶的web登錄密碼、密鑰文件嗅义、密鑰密碼屏歹、谷歌動(dòng)態(tài)口令導(dǎo)入U(xiǎn)RL鏈接一并發(fā)送給用戶。
3之碗、用戶權(quán)限分配
? ?
? ?針對Linux服務(wù)器:使用Jumpserver默認(rèn)的管理功能西采,設(shè)定用戶組、主機(jī)組继控、用戶賬號三元組進(jìn)行控制。
Windows跳板機(jī):分配用戶可以訪問的Windows服務(wù)器IP胖眷。
4武通、用戶使用
linux服務(wù)器:使用ssh密鑰文件和密碼登錄。
Windows服務(wù)器:使用web密碼登錄后珊搀,選擇需要遠(yuǎn)程訪問的服務(wù)器冶忱,使用Windows賬號密碼登錄。
5境析、命令控制
一些高危命令囚枪,比如rm -rf / 禁止使用。
6劳淆、文件導(dǎo)出控制
對于文件的導(dǎo)出链沼,進(jìn)行嚴(yán)格控制,禁止SZ命令沛鸵,此外Windows跳板機(jī)括勺,不允許數(shù)據(jù)粘貼出來缆八。
需要導(dǎo)出文件的,通過訪問內(nèi)網(wǎng)SFTP系統(tǒng)疾捍,將數(shù)據(jù)上傳到特定目錄后奈辰,會(huì)自動(dòng)生成一次性URL鏈接給用戶郵箱,用戶在辦公網(wǎng)通過訪問這個(gè)鏈接就可以下載文件乱豆。
7奖恰、用戶自助管理
堡壘機(jī)忘記密碼管理可以自助重置。
Google Authenticator 相關(guān)的安卓和iOS APP宛裕,由于經(jīng)常出現(xiàn)手機(jī)更換問題瑟啃,提供了自助生成URL鏈接的功能,方便用戶使用续滋。
8翰守、密碼管理功能
在我們的設(shè)計(jì)模式中,有一個(gè)sudo權(quán)限的安全用戶給堡壘機(jī)使用疲酌,這個(gè)不能修改蜡峰。
其他的用戶堡壘機(jī)是通過ssh免登陸管理的,修改這些用戶密碼對業(yè)務(wù)應(yīng)用不會(huì)有影響朗恳,所以我們設(shè)定策略每個(gè)月初修改密碼湿颅,這些密碼是長位數(shù)隨機(jī)的。
修改的密碼會(huì)記錄到一個(gè)專用的密碼管理系統(tǒng)中粥诫,需要申請后油航,才能查詢到密碼。
9怀浆、運(yùn)維審計(jì)
第一是linux記錄的審計(jì)谊囚,使用jumpserver自身的審計(jì)功能,已經(jīng)比較好了执赡;
第二是Windows操作镰踏,主要是錄屏審計(jì),根據(jù)用戶和使用時(shí)間分割沙合,記錄成文件奠伪,方便后期審計(jì)。
第三是SFTP導(dǎo)出審計(jì)首懈,詳細(xì)記錄用戶什么時(shí)間導(dǎo)出什么數(shù)據(jù)绊率,如果是txt、excel可以預(yù)覽究履,便于安全審計(jì)滤否。
五、總結(jié)??????????????????????????
Jumpserver是一個(gè)非常優(yōu)秀的開源堡壘機(jī)系統(tǒng)挎袜,我們在這個(gè)基礎(chǔ)上顽聂,進(jìn)行了不少的二次開發(fā)肥惭,滿足了我們對于密碼二次認(rèn)證、Windows跳板機(jī)和審計(jì)紊搪、文件導(dǎo)出和審計(jì)蜜葱、密碼管理等需求,經(jīng)過一年的使用耀石,效果良好牵囤。
