近期出於管理和檢查需要,單位領導要求上堡壘機系統,測試了幾個商業堡壘機,因爲價格超過預算等原因都未購買,又測試了三個開源的堡壘機,感覺×××功能最全,基本上和商業堡壘機一樣,唯一的問題就是圖形部分不開源,但因爲我們的服務器基本上全是LINUX環境,telnet、ssh、ftp、sftp已經足夠了因此將這套堡壘機已經用於生產環境。
現在市場商業堡壘機價格太高,基本上都要到10萬左右,我結合在公司部署開源堡壘機的經驗,將過程寫爲文檔與大家分享。
我測試的其它開源堡壘機基本上還是半成品,麒麟堡壘機基本上已經是一個成品堡壘機,但是還是存在某些小BUG,可以自己修改源代碼改掉。
麒麟堡壘機安裝條件
系統必須至少有二塊網卡,一塊網卡安裝時會報錯,如果是虛機虛2塊網卡出來
系統最低硬件爲:Intel 64位CPU、4G內存、200G硬盤,注意,32位CPU裝不上
安裝過程:
麒麟堡壘機安裝過程非常簡單,用光盤啓動,一回車,完全無人值守安裝,不需要做任何的干涉(安裝過程贊一個基本上可以給95分),過程圖如下:
插入光驅進行啓動,會到安裝界面,在blj那裏直接回車(PS:如果使用筆記本進行虛機安裝,先選擇install Pcvm,方式使用500M SWAP, 默認安裝方式使用32G SWAP,這幾個安裝方式主要就是SWAP大小不同,如果使用虛機方式安裝堡壘機,有可能出現SWAP不夠用問題)
我的硬件物理機爲8G內存,普通的E3 單個CPU,2T 串口硬盤,安裝過程大約要等30分鐘左右,安裝完畢,系統重啓,退出光盤即可。
系統配置:
1. 安裝過後,系統默認IP爲: Eth0 192.168.1.100/24,可以直接使用筆記本配置一個同網段的IP,然後直接連到ETH0上,使用IE輸入 https://192.168.1.100登錄,默認口令爲admin/12345678,登錄後到系統配置-網絡配置-網絡配置中,編輯eth0口,將IP地址、掩碼、網關修改成自己的,點保存修改,系統會將IP修改爲本地IP
2. 麒麟堡壘機使用的Centos 7.1系統(PS太新了),後臺登錄密碼也給了(這個太優越於商用堡壘機了),技術大神可以直接到後臺修改IP即可,注意後臺 SSH端口爲2288,用戶名密碼爲 root/Baoleiji123
3. 系統配置好後,如果你要用圖形協議,需要找開發者申請圖形的licenses,如果只用字符的,就可以直接使用了,我這裏全是LINUX,因此沒有進行Licenses申請,麒麟堡壘機上線我主要做了四步
建立目錄結構--導入堡壘機帳號(主帳號)------導入服務器帳號(從帳號)--------主從帳號關聯授權,說真的,比商業堡壘機都要好用
4. 建立目錄結構:
目錄是類於設備組和用戶組,麒麟堡壘機是LDAP結構,組裏可以放用戶也可以放設備,我覺得這點不方便,我是把用戶和設備分別建的組,在添加用戶、設備時,一定要先加組,因爲沒有組設備和用戶加不上
資源管理-資產管理-目錄管理 頁籤,單擊“增加新節點”;根據所要創建的組類型選擇“所屬目錄”與“屬性”;
PS:“節點名”輸入節點的名稱,“所屬目錄”新創建目錄所屬那個父組;,目錄樹可以無限級目錄,堡壘機配置前必須先將目錄樹配置完畢才能進行用戶和設備的導入,用戶和設備導入時,必須有配置好的目錄樹。
5. 導入堡壘機帳號(主帳號),菜單 資源管理-資產管理-用戶管理中,默認有四個帳號admin、audit、password、test,如果帳號少,可以一個一個加,我這裏運維人員有40多個,所以我用的導入方式,只要點一下導出就會下來一個CSV 模版,按模版填進去在導回去就行了
導出後,CSV表只需要填
用戶名:運維人員登錄堡壘機時的名稱,要求唯一(必須填寫)
密碼: 運維人員登錄堡壘機時的密碼 (必須填寫)
真實姓名:運維人員的真實姓名(必須填寫)
電子郵箱:運維人員的電子郵箱地址(選擇填寫)
用戶權限:統一配置爲普通用戶 (必須填寫)
組名:目錄結構中的資源組名稱,如果出現同樣名稱的資源組,則導入時需要用組名(id)方式,比如出現重名的first組,如果你想在界面中這個組加入,則組名爲first(221)
填好後,把頭一行test那行刪除,然後點導入菜單,注意,一定要勾上加密,不然導進去用不了
7. 服務器帳號(從帳號)導入,麒麟堡壘機在導入從帳號時會自動創建服務器,所以只需要在資源管理-資產管理-設備列表 中導出一個CSV文件,按文件進行填寫,然後導入即可以完成設備、設備帳號的錄入:
一般只需要A到H列,後面只要複製模版中的即可,各列說明如下:
主機名:主機的名稱
IP主機的IP地址
服務器組:服務器所屬組的ID號,因爲目錄中允許同名稱的組,因此,服務器組用ID號替代,可以在資產管理-資源管理-目錄節點中查看ID號,如下圖:
系統類型:主機的操作系統類型,必須在第一章中添加的或系統自帶的中選擇添加
系統用戶:系統用戶名,如果不想託管,則這項不填
當前密碼:系統播放的密碼,如果不想託管,則這項可以不填
登錄協議:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在這些登錄方式中選擇相應的
端口: 登錄協議連接的目標端口
過期時間:這個系統帳號的過期時間,如果超過過期時間,則不在允許登錄
自動修改密碼:是否對這個帳號進行自動修改密碼(默認爲否)
主帳號:自動修改密碼時只使用一個帳號登錄修改主機上所有的用戶密碼,如果是主帳號,則填是,主帳號一般爲root權限或可以sudo 爲root
自動登錄:默認填是
堡壘機用戶:均填否
Sftp用戶:如果是SSH服務,則設置這個SSH用戶是否可以使用SFTP服務,是爲允許,否爲不允許
公私鑰用戶:如果是SSH服務,設置這個SSH用戶認證是不是使用公私鑰方式,是或否
填好後點導入按鈕導回,注意,也一定要勾上加密
9.系統授權,堡壘機帳號(主帳號)、主機系統帳號(從帳號)導入完成後,需要進行賦權操作,賦權後堡壘機帳號(主帳號)登錄到堡壘機才能跳轉到相應的設備。
賦權操作如果一個堡壘機帳號(主帳號)有大量從帳號的權限,則賦權是在系統用戶組菜單完成的,如果爲堡壘機帳號(主帳號)臨時添加一個從帳號的賦權,則也可以在主機設備帳號菜單中完成。
賦權操作最好按用戶組的方式進行賦,即將權限相同的用戶放在同一個用戶組中,然後爲這個用戶組創建一個系統用戶組,將這些用戶擁有權限的主機設備帳號都加到這個組中,然後將這個系統用戶組綁定給這個用戶組,如果每個用戶的權限都不一樣,也可以爲單獨的用戶劃分系統用戶組後進行授權。
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統用戶組”頁籤,單擊“添加新組”;填寫“系統用戶組”名,選中“未選設備”中系統用戶添加到“已選設備”,確定已經選中想要賦權的堡壘機用戶組的所有系統帳號後,點擊保存;
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統用戶組”頁籤,單擊“操作”欄中“授權”,勾選“授權組”或“授權用戶”,配置完成單擊“保存修改”;
授權後,組中的用戶或被授權的用戶,就擁有了這個系統用戶組中所有的主機系統帳號的權限。
到此,堡壘機的設置就完成了,下面說一說我的心得:
堡壘機對於運維人員有幾個好的地方,麒麟堡壘機的插件支持任何瀏覽器(我測試的商業版本,FIREFOX和CHROME只能使用JAVA方式),另外麒麟堡壘機有一個透明登錄的功能非常好用,就是在設置好權限後,在列表導出裏導出SECRECRT的列表,然後導到CRT的SESSIONS目錄,在登錄設備時,是直接登錄,根本感覺不到堡壘機的存在,這個功能必須要贊。