日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當(dāng)前位置: 首頁 > 编程语言 > python >内容正文

python

Python 堡垒机介绍

發(fā)布時間:2024/10/12 python 47 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Python 堡垒机介绍 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
堡壘機說明   由于運維行業(yè)流動性很高,也為了防止有人在服務(wù)中殘留后門,照成安全隱患,在這里我們使用堡壘機保證服務(wù)器管理安全。 我們知道運維人員在登陸服務(wù)時需要登陸用戶,從客戶端到服務(wù)端的過程中堡壘機,將成為一個跳板的角色。堡壘機內(nèi)有一個獨立的管理員,專門為運維人員創(chuàng)建用戶,其他創(chuàng)建用戶并不能直接訪問堡壘機,對于其他用戶來說,堡壘機是透明的。運維人員可以通過這些用戶到達指定服務(wù)端,這個用戶在服務(wù)中的所有操作都會被詳細記錄,上傳的文件會在堡壘機中審計,這樣如果系統(tǒng)出現(xiàn)問題,就可以通過堡壘機來鎖定具體是哪個用戶照成的。   堡壘機功能實現(xiàn):堡壘機是通過重新封裝了SSH來實現(xiàn)的。    需求:
  • 1.權(quán)限可控
  • 2.用戶行為審計
普通跳板機:
  • (外網(wǎng))客戶端登陸--> (外網(wǎng),專網(wǎng))跳板機(公共賬戶)--> 服務(wù)器(專網(wǎng))
堡壘機跳板:
  • 堡壘機用戶登陸 客戶端-->?登陸堡壘機,記錄登陸用戶,記錄登陸用戶,記錄使用命令-->?登陸服務(wù)器

?

主流堡壘機: 不開源
  • 齊治 堡壘機 ((修改源生ssh)360投資)
開源(不好用)
  • jumpserver (python 開源不穩(wěn)定(不適合生產(chǎn)環(huán)境))
  • creazyeye (python 開源不穩(wěn)定(不適合生產(chǎn)環(huán)境))

?

集中式認證:
  • ldap允許認證( 域 )
  • 優(yōu)點:建立一個用戶,管理多臺機器。
  • 缺點:登陸所有機器,不安全。
  • 使用環(huán)境:局域網(wǎng)多臺機器。

審計管理

  審計管理其實很簡單,就是把用戶的所有操作都紀錄下來,以備日后的審計或者事故后的追責(zé)。在紀錄用戶操作的過程中有一個問題要注意,就是這個紀錄對于操作用戶來講是不可見的,什么意思?就是指,無論用戶愿不愿意,他的操作都會被紀錄下來,并且,他自己如果不想操作被紀錄下來,或想刪除已紀錄的內(nèi)容,這些都是他做不到的,這就要求操作日志對用戶來講是不可見和不可訪問的,通過堡壘機就可以很好的實現(xiàn)。 堡壘機架構(gòu)?   堡壘機的主要作用權(quán)限控制和用戶行為審計,堡壘機就像一個城堡的大門,城堡里的所有建筑就是你不同的業(yè)務(wù)系統(tǒng) , 每個想進入城堡的人都必須經(jīng)過城堡大門并經(jīng)過大門守衛(wèi)的授權(quán),每個進入城堡的人必須且只能嚴格按守衛(wèi)的分配進入指定的建筑,且每個建筑物還有自己的權(quán)限訪問控制,不同級別的人可以到建筑物里不同樓層的訪問級別也是不一樣的。還有就是,每個進入城堡的人的所有行為和足跡都會被嚴格的監(jiān)控和紀錄下來,一旦發(fā)生犯罪事件,城堡管理人員就可以通過這些監(jiān)控紀錄來追蹤責(zé)任人。 堡壘要想成功完全記到他的作用,只靠堡壘機本身是不夠的, 還需要一系列安全上對用戶進行限制的配合,堡壘機部署上后,同時要確保你的網(wǎng)絡(luò)達到以下條件:
  • 所有人包括運維、開發(fā)等任何需要訪問業(yè)務(wù)系統(tǒng)的人員,只能通過堡壘機訪問業(yè)務(wù)系統(tǒng)
  • 回收所有對業(yè)務(wù)系統(tǒng)的訪問權(quán)限,做到除了堡壘機管理人員,沒有人知道業(yè)務(wù)系統(tǒng)任何機器的登錄密碼
  • 網(wǎng)絡(luò)上限制所有人員只能通過堡壘機的跳轉(zhuǎn)才能訪問業(yè)務(wù)系統(tǒng)?
  • 確保除了堡壘機管理員之外,所有其它人對堡壘機本身無任何操作權(quán)限,只有一個登錄跳轉(zhuǎn)功能
  • 確保用戶的操作紀錄不能被用戶自己以任何方式獲取到并篡改  

堡壘機功能實現(xiàn)需求

業(yè)務(wù)需求:
  • 兼顧業(yè)務(wù)安全目標與用戶體驗,堡壘機部署后,不應(yīng)使用戶訪問業(yè)務(wù)系統(tǒng)的訪問變的復(fù)雜,否則工作將很難推進,因為沒人喜歡改變現(xiàn)狀,尤其是改變后生活變得更艱難
  • 保證堡壘機穩(wěn)定安全運行, 沒有100%的把握,不要上線任何新系統(tǒng),即使有100%把握,也要做好最壞的打算,想好故障預(yù)案
    • 功能需求:
  • 所有的用戶操作日志要保留在數(shù)據(jù)庫中
  • 每個用戶登錄堡壘機后,只需要選擇具體要訪問的設(shè)置,就連接上了,不需要再輸入目標機器的訪問密碼
  • 允許用戶對不同的目標設(shè)備有不同的訪問權(quán)限,例:
  • 對10.0.2.34 有mysql 用戶的權(quán)限
  • 對192.168.3.22 有root用戶的權(quán)限
  • 對172.33.24.55 沒任何權(quán)限
  • 分組管理,即可以對設(shè)置進行分組,允許用戶訪問某組機器,但對組里的不同機器依然有不同的訪問權(quán)限

    • ?

    設(shè)計表結(jié)構(gòu):

    ?

    ?

    轉(zhuǎn)載于:https://www.cnblogs.com/xiangsikai/p/8336960.html

    總結(jié)

    以上是生活随笔為你收集整理的Python 堡垒机介绍的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網(wǎng)站內(nèi)容還不錯,歡迎將生活随笔推薦給好友。