?????????????????????????????????????????????????? 項目實戰(zhàn)：運維堡壘機開發(fā)

前景介紹

到目前為止，很多公司對堡壘機依然不太感冒，其實是沒有充分認識到堡壘機的IT管理中的重要作用的，很多人覺得，堡壘機就是跳板機，其實這個認識是不全面的，跳板功能只是堡壘機所具備的功能屬性中的其中一項而已，下面我就給大家介紹一下堡壘機的重要性，以幫助大家參考自己公司的業(yè)務是否需要部署堡壘機。

堡壘機有一下兩個至關重要功能：

權限管理

當你公司的服務器越來越多后，需要操作這些服務器的人就肯定不只是一個運維人員，同時也可能包括多個開發(fā)人員，那么這么多的人操作業(yè)務系統(tǒng)，如果全下分配不當就會存在很大的安全風險，舉幾個場景例子：

1.設想你們公司有300臺linux服務器，A開發(fā)人員需要登錄其中5臺WEB服務器查看日志或進行問題追蹤等事務，同時對另外10臺hadoop服務器擁有root權限,在有300臺服務器規(guī)模的網(wǎng)絡中，按常理來講你是已經使用了ldap權限統(tǒng)一認證的，你如何使這個開發(fā)人員只能以普通用戶的身份登錄5臺web服務器，并且同時允許他以管理員的身份登錄另外10臺hadoop服務器呢？并且同時把其他剩下的200多臺服務器沒有訪問權限。

2.目前據(jù)我了解，很多公司的運維團隊為了方面，整個運維團隊的運維人員還是共享同一套root密碼，這樣內部信任機制雖然使大家的工作方便了，但同時存在著極大的安全隱患，很多情況下，一個運維人員只需要管理固定數(shù)量的服務器，畢竟公司分為不同的業(yè)務線，不同的運維人員管理的業(yè)務線也不同，但如果共享一套root密碼，其實就等于無限放大了每個運維人員的權限，也就是說，如果某個運維人員想干壞事的話，他可以在幾分鐘內把整個公司的業(yè)務停轉，甚至數(shù)據(jù)都給刪除掉。為了降低風險，于是有人想到，把不同業(yè)務線的root密碼改掉就ok了么，也就是每個業(yè)務線的運維人員只知道自己的密碼，這當然是最簡單有效的方式，但問題是如果你同時用了ldap,這樣做又比較麻煩，即使你設置了root不通過ldap認證，那新問題就是，每次有運維人員離職，他所在的業(yè)務線的密碼都需要重新改一次。

其實上面的問題，我覺得可以很簡單的通過堡壘機來實現(xiàn)，收回所有人員的直接登錄服務器的權限，所有的登錄動作都通過堡壘機授權，運維人員或開發(fā)人員不知道遠程服務器的密碼，這些遠程機器的用戶信息都綁定在了堡壘機上，堡壘機用戶只能看到他能用什么權限訪問哪些遠程服務器。

?

在回收了運維或開發(fā)人員直接登錄遠程服務器的權限后，其實就等于你們公司生產系統(tǒng)的所有認證過程都通過堡壘機來完成了，堡壘機等于成了你們生產系統(tǒng)的SSO(single sign on)模塊了。你只需要在堡壘機上添加幾條規(guī)則就能實現(xiàn)以下權限控制了：

允許A開發(fā)人員通過普通用戶登錄5臺web服務器，通過root權限登錄10臺hadoop服務器，但對其余的服務器無任務訪問權限

多個運維人員可以共享一個root賬戶，但是依然能分辨出分別是誰在哪些服務器上操作了哪些命令，因為堡壘機賬戶是每個人獨有的，也就是說雖然所有運維人員共享了一同一個遠程root賬戶，但由于他們用的堡壘賬戶都是自己獨有的，因此依然可以通過堡壘機控制每個運維人員訪問不同的機器。

審計管理

審計管理其實很簡單，就是把用戶的所有操作都紀錄下來，以備日后的審計或者事故后的追責。在紀錄用戶操作的過程中有一個問題要注意，就是這個紀錄對于操作用戶來講是不可見的，什么意思？就是指，無論用戶愿不愿意，他的操作都會被紀錄下來，并且，他自己如果不想操作被紀錄下來，或想刪除已紀錄的內容，這些都是他做不到的，這就要求操作日志對用戶來講是不可見和不可訪問的，通過堡壘機就可以很好的實現(xiàn)。

堡壘機架構?

堡壘機的主要作用權限控制和用戶行為審計，堡壘機就像一個城堡的大門，城堡里的所有建筑就是你不同的業(yè)務系統(tǒng) ， 每個想進入城堡的人都必須經過城堡大門并經過大門守衛(wèi)的授權，每個進入城堡的人必須且只能嚴格按守衛(wèi)的分配進入指定的建筑，且每個建筑物還有自己的權限訪問控制，不同級別的人可以到建筑物里不同樓層的訪問級別也是不一樣的。還有就是，每個進入城堡的人的所有行為和足跡都會被嚴格的監(jiān)控和紀錄下來，一旦發(fā)生犯罪事件，城堡管理人員就可以通過這些監(jiān)控紀錄來追蹤責任人。?

堡壘要想成功完全記到他的作用，只靠堡壘機本身是不夠的， 還需要一系列安全上對用戶進行限制的配合，堡壘機部署上后，同時要確保你的網(wǎng)絡達到以下條件：

• 所有人包括運維、開發(fā)等任何需要訪問業(yè)務系統(tǒng)的人員，只能通過堡壘機訪問業(yè)務系統(tǒng)
  • 回收所有對業(yè)務系統(tǒng)的訪問權限，做到除了堡壘機管理人員，沒有人知道業(yè)務系統(tǒng)任何機器的登錄密碼
  • 網(wǎng)絡上限制所有人員只能通過堡壘機的跳轉才能訪問業(yè)務系統(tǒng)?
• 確保除了堡壘機管理員之外，所有其它人對堡壘機本身無任何操作權限，只有一個登錄跳轉功能
• 確保用戶的操作紀錄不能被用戶自己以任何方式獲取到并篡改　　

?

堡壘機功能實現(xiàn)需求

業(yè)務需求:

兼顧業(yè)務安全目標與用戶體驗，堡壘機部署后，不應使用戶訪問業(yè)務系統(tǒng)的訪問變的復雜，否則工作將很難推進，因為沒人喜歡改變現(xiàn)狀，尤其是改變后生活變得更艱難

保證堡壘機穩(wěn)定安全運行， 沒有100%的把握，不要上線任何新系統(tǒng)，即使有100%把握，也要做好最壞的打算，想好故障預案

功能需求：

所有的用戶操作日志要保留在數(shù)據(jù)庫中

每個用戶登錄堡壘機后，只需要選擇具體要訪問的設置，就連接上了，不需要再輸入目標機器的訪問密碼

允許用戶對不同的目標設備有不同的訪問權限，例:

對10.0.2.34 有mysql 用戶的權限

對192.168.3.22 有root用戶的權限

對172.33.24.55 沒任何權限

分組管理，即可以對設置進行分組，允許用戶訪問某組機器，但對組里的不同機器依然有不同的訪問權限　

設計表結構:

實現(xiàn)思路：

堡壘機執(zhí)行流程：

管理員為用戶在服務器上創(chuàng)建賬號（將公鑰放置服務器，或者使用用戶名密碼）

用戶登陸堡壘機，輸入堡壘機用戶名密碼，現(xiàn)實當前用戶管理的服務器列表

用戶選擇服務器，并自動登陸

執(zhí)行操作并同時將用戶操作記錄

轉載于:https://www.cnblogs.com/chaishao/p/6029402.html

總結

以上是生活随笔為你收集整理的python基础（十三）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。