目錄

一、堡壘機(jī)介紹
二置蜀、搭建簡易堡壘機(jī)思路
三镣煮、搭建簡易堡壘機(jī) - 安裝jailkit實現(xiàn)chroot
四姐霍、搭建簡易堡壘機(jī) - 日志審計
五、jumpserver介紹
六典唇、安裝jumpserver
七邮弹、使用jumpserver
八、用戶管理
九蚓聘、資產(chǎn)管理
十、客戶端登錄jumpserver

一盟劫、堡壘機(jī)介紹

在一個特定網(wǎng)絡(luò)環(huán)境下夜牡，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受外界入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件塘装、網(wǎng)絡(luò)活動急迂，以便集中報警、及時處理及審計定責(zé)蹦肴。
我們又把堡壘機(jī)叫做跳板機(jī)僚碎，簡易的跳板機(jī)功能簡單，主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計阴幌。
比較優(yōu)秀的開源軟件jumpserver勺阐，認(rèn)證、授權(quán)矛双、審計渊抽、自動化、資產(chǎn)管理议忽。
商業(yè)堡壘機(jī)：齊治懒闷，Citrix XenApp

二、搭建簡易堡壘機(jī)思路

具備堡壘機(jī)的條件是栈幸，該機(jī)器有公網(wǎng)和私網(wǎng)愤估，其中私網(wǎng)和機(jī)房其他機(jī)器互通，公網(wǎng)則是用于公司外部辦公
設(shè)計堡壘機(jī)思路
跳板機(jī)安全設(shè)置（iptables端口限制速址、登錄限制sshd_config）不使用密碼認(rèn)證而用用密鑰認(rèn)證
用戶玩焰、命令權(quán)限限制（jailkit) http://blog.chinaunix.net/uid-28310119-id-3503318.html
客戶機(jī)器日志審計
http://www.68idc.cn/help/server/linux/2014042190951.html

三、搭建簡易堡壘機(jī) - 安裝jailkit實現(xiàn)chroot

wget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
tar jxvf jailkit-2.19.tar.bz2
cd jailkit-2.19
./configure && make && make install
mkdir /home/jail
jk_init -v -j /home/jail/ basicshell
jk_init -v -j /home/jail/ editors
jk_init -v -j /home/jail/ netutils
jk_init -v -j /home/jail/ ssh
mkdir /home/jail/usr/sbin
cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh
useradd lisi
passwd lisi
jk_jailuser -m -j /home/jail lisi
vim /home/jail/etc/passwd //把lisi那一行的/usr/sbin/jk_lsh改為/bin/bash

#下載安裝jailkit
[root@minglinux-01 /usr/local/src] wget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
[root@minglinux-01 /usr/local/src] tar jxvf jailkit-2.19.tar.bz2 
[root@minglinux-01 /usr/local/src] cd jailkit-2.19/
[root@minglinux-01 /usr/local/src/jailkit-2.19] ./configure 
[root@minglinux-01 /usr/local/src/jailkit-2.19] make && make install

#創(chuàng)建虛擬系統(tǒng)的根目錄壳繁，chroot到該目錄下
[root@minglinux-01 /usr/local/src/jailkit-2.19] mkdir /home/jail
#分別執(zhí)行以下命令震捣，目的是將一些基礎(chǔ)指令和庫文件搞到/home/jail里面去
[root@minglinux-01 /usr/local/src/jailkit-2.19] jk_init -v -j /home/jail/ basicshell
[root@minglinux-01 /usr/local/src/jailkit-2.19] jk_init -v -j /home/jail/ editors
[root@minglinux-01 /usr/local/src/jailkit-2.19] jk_init -v -j /home/jail/ netutils
[root@minglinux-01 /usr/local/src/jailkit-2.19] jk_init -v -j /home/jail/ ssh

#拷貝虛擬系統(tǒng)shell
[root@minglinux-01 /usr/local/src/jailkit-2.19] mkdir /home/jail/usr/sbin
[root@minglinux-01 /usr/local/src/jailkit-2.19] cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh

#在源系統(tǒng)創(chuàng)建用戶
[root@minglinux-01 /usr/local/src/jailkit-2.19] useradd lisi  #123456
[root@minglinux-01 /usr/local/src/jailkit-2.19] passwd lisi
更改用戶 lisi 的密碼 。
新的 密碼：
無效的密碼： 密碼少于 8 個字符
重新輸入新的 密碼：
passwd：所有的身份驗證令牌已經(jīng)成功更新闹炉。

#在虛擬系統(tǒng)創(chuàng)建用戶
[root@minglinux-01 /usr/local/src/jailkit-2.19] jk_jailuser -m -j /home/jail/ lisi

#修改虛擬系統(tǒng)passwd
[root@minglinux-01 /usr/local/src/jailkit-2.19] vim /home/jail/etc/passwd
#把zhalixi那一行的/usr/sbin/jk_lsh改為/bin/bash蒿赢，這樣lisi才可以登錄
  1 root:x:0:0:root:/root:/bin/bash
  2 lisi:x:1021:1021::/home/lisi:/bin/bash

#使用用戶lisi登錄到虛擬系統(tǒng)，查看系統(tǒng)信息
[lisi@minglinux-01 ~]$ ls
[lisi@minglinux-01 ~]$ ls -l /
total 0
lrwxrwxrwx 1 root root   7 Mar 14 06:14 bin -> usr/bin
drwxr-xr-x 2 root root  44 Mar 14 06:14 dev
drwxr-xr-x 2 root root 240 Mar 14 06:40 etc
drwxr-xr-x 3 root root  18 Mar 14 06:37 home
lrwxrwxrwx 1 root root   9 Mar 14 06:14 lib64 -> usr/lib64
drwxr-xr-x 7 root root  70 Mar 14 06:22 usr
[lisi@minglinux-01 ~]$ 
Display all 117 possibilities? (y or n)
!          caller     cpio       enable     function   kill       printf     select     then       until
./         case       date       esac       getopts    let        pushd      set        time       vi
:          cat        dd         eval       grep       ln         pwd        sh         times      vim
[          cd         declare    exec       gunzip     local      read       shift      touch      wait
[[         chmod      dirs       exit       gzip       logout     readarray  shopt      trap       wget
]]         command    disown     export     hash       ls         readonly   sleep      true       while
alias      compgen    do         false      help       mapfile    return     source     type       zcat
bash       complete   done       fc         history    mkdir      rm         ssh        typeset    {
bg         compopt    echo       fg         host       mktemp     rmdir      suspend    ulimit     }
bind       continue   egrep      fgrep      if         more       rsync      sync       umask      
break      coproc     elif       fi         in         mv         scp        tar        unalias                                   
builtin    cp         else       for        jobs       popd       sed        test       unset      
[lisi@minglinux-01 ~]$ ls /etc/
bashrc  host.conf  issue    ld.so.conf  nsswitch.conf  profile    resolv.conf  vimrc
group   hosts      ld.so.cache  motd        passwd     protocols  services
#虛擬系統(tǒng)搭建完成

#源系統(tǒng)（跳板機(jī)）安全設(shè)置

#1.跳板機(jī)創(chuàng)建authorized_keys文件并放入對應(yīng)客戶端機(jī)器或ssh客戶端密鑰渣触，設(shè)置密鑰登錄
[lisi@minglinux-01 ~]$ vim ssh/authorized_keys 

#2.在跳板機(jī)里設(shè)置只允許密鑰登錄羡棵，即跳板機(jī)需要密鑰認(rèn)證登錄虛擬系統(tǒng)
[root@minglinux-01 /home/jail] vim /etc/ssh/sshd_config 
··· 
 65 PasswordAuthentication no  #將改行該為禁止密碼登錄

#3.跳板機(jī)設(shè)置添加iptables規(guī)則，比如把不需要的端口或服務(wù)全部關(guān)閉

#4.跳板機(jī)設(shè)置限制登錄源ip嗅钻，除了192.168.162.0/24網(wǎng)段外其他ip都不能遠(yuǎn)程登錄跳板機(jī)
[root@minglinux-01 /home/jail] vim /etc/hosts.allow 
11 sshd: 192.168.162.0/24
[root@minglinux-01 /home/jail] vim /etc/hosts.deny 
14 sshd: ALL

四皂冰、搭建簡易堡壘機(jī) - 日志審計

以下操作是需要在所有被登錄機(jī)器上做的
mkdir /usr/local/records
chmod 777 !$
chmod +t !$
vi /etc/profile //添加
if [ ! -d /usr/local/records/${LOGNAME} ]
then
mkdir -p /usr/local/records/${LOGNAME}
chmod 300 /usr/local/records/${LOGNAME}
fi
export HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print $1" "$2" "$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

#開啟minglinux-02作為客戶機(jī)，進(jìn)行一些設(shè)置
##設(shè)置僅允許跳板機(jī)ip遠(yuǎn)程登錄
[root@minglinux-02 ~] vim /etc/hosts.allow 
sshd: 192.168.162.130  192.168.162.1  #后面ip是為了方便windows遠(yuǎn)程連接
[root@minglinux-02 ~] vim /etc/hosts.deny 
sshd: ALL
#客戶機(jī)也應(yīng)該創(chuàng)建lisi賬戶來登錄跳板機(jī)比較好养篓，可以加上sudo權(quán)限

#在minglinux-02上設(shè)置日志審計
[root@minglinux-02 ~] mkdir /usr/local/records
[root@minglinux-02 ~] chmod 777 !$
chmod 777 /usr/local/records
[root@minglinux-02 ~] chmod +t !$  #加t權(quán)限防刪除
chmod +t /usr/local/records
[root@minglinux-02 ~] vim /etc/profile
#加入以下內(nèi)容
···
if [ ! -d  /usr/local/records/${LOGNAME} ]  
then
mkdir -p /usr/local/records/${LOGNAME}  #創(chuàng)建與登錄用戶名相同的文件夾
chmod 300 /usr/local/records/${LOGNAME}  #對文件夾設(shè)置300權(quán)限
fi
export HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"   #歷史記錄日志變量
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
···

五秃流、jumpserver介紹

官網(wǎng)www.jumpserver.org
Jumpserver是一款使用Python, Django開發(fā)的開源跳板機(jī)系統(tǒng), 助力互聯(lián)網(wǎng)企業(yè)高效 用戶、資產(chǎn)柳弄、權(quán)限舶胀、審計 管理
Auth 統(tǒng)一認(rèn)證
CMDB 資產(chǎn)管理
統(tǒng)一授權(quán)
日志審計
自動化運維（ansible）

六、安裝jumpserver

參考http://docs.jumpserver.org/zh/docs/step_by_step.html
我記錄一晚上的安裝過程因為關(guān)了一次瀏覽器而丟失了，歷史版本直接回到昨天下午了嚣伐。安裝過程挺長的糖赔，系統(tǒng)最好是干凈一點，我用安裝了rediis轩端、nginx的機(jī)器安裝時出現(xiàn)的問題很難找到答案放典，最后換了干凈點的機(jī)器才安裝成功。

image.png

#啟動命令
source /opt/py3/bin/activate
cd /opt/jumpserver
./jms start all -d
cd /opt/coco
./cocod start -d

#設(shè)置開機(jī)啟動
[root@minglinux-04 ~]# vim /etc/rc.local

#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.

touch /var/lock/subsys/local
source /opt/py3/bin/activate ; cd /opt/jumpserver ; ./jms start all -d &> /dev/null

七基茵、使用jumpserver

瀏覽器輸入ip:8080 訪問jumpserver
默認(rèn)用戶名是admin奋构，密碼是minglinux
點擊用戶管理，選擇用戶耿导，點擊右側(cè)Administrator的個人信息声怔，然后點更新，設(shè)置密碼
創(chuàng)建用戶組 運維
創(chuàng)建用戶 ming
點擊設(shè)置舱呻，默認(rèn)管理用戶醋火，該用戶為管理員用戶，應(yīng)該有sudo權(quán)限箱吕，需要在每一臺客戶機(jī)上創(chuàng)建該用戶（用戶名自定義芥驳，jump）
在一臺linux機(jī)器上生成一個密鑰對，用來作為該管理用戶的密鑰對
把私鑰粘貼到默認(rèn)密鑰下面
在客戶機(jī)上創(chuàng)建jump用戶茬高，并設(shè)置sudo權(quán)限兆旬，把剛剛生成的密鑰對里面的公鑰放到該客戶機(jī)的jump用戶家目錄.ssh/authorized_keys文件里
資產(chǎn)管理，查看資產(chǎn)組怎栽，添加資產(chǎn)組（如丽猬，dev）
資產(chǎn)管理，查看資產(chǎn)熏瞄，添加資產(chǎn)脚祟，填寫各項信息
授權(quán)管理，系統(tǒng)用戶强饮，添加系統(tǒng)用戶由桌，該用戶為我們登錄所有客戶機(jī)的用戶
授權(quán)規(guī)則，添加規(guī)則邮丰，創(chuàng)建授權(quán)規(guī)則

image.png

八行您、用戶管理

jumpserver用戶用來登錄jumpserver（web界面、ssh登錄）
管理用戶用來自動創(chuàng)建客戶機(jī)上的系統(tǒng)用戶剪廉、批量執(zhí)行命令等操作
客戶機(jī)上的系統(tǒng)用戶娃循，用來通過jumpserver去登錄每一臺客戶機(jī)的用戶

無標(biāo)題.png

九、資產(chǎn)管理

十斗蒋、客戶端登錄jumpserver

普通用戶的密碼以及密鑰下載地址淮野、密鑰密碼都會通過郵件的方式發(fā)送給用戶
瀏覽器登錄普通用戶捧书，可以查看有權(quán)限的主機(jī)，也可以在web界面下登錄主機(jī)骤星、上傳和下載文件
xshell創(chuàng)建新的連接
ip為jumpserver的ip，端口為22
用戶名為普通用戶名字
設(shè)置密鑰認(rèn)證
連接后爆哑，出現(xiàn)登錄頁面洞难，數(shù)據(jù)p查看所有被授權(quán)主機(jī)

輸入主機(jī)前面的數(shù)字可以登錄到對應(yīng)的主機(jī)下面

• 將公鑰拷貝到j(luò)umpserver

image.png

image.png