python基础(十三)
?????????????????????????????????????????????????? 項(xiàng)目實(shí)戰(zhàn):運(yùn)維堡壘機(jī)開發(fā)
前景介紹
到目前為止,很多公司對(duì)堡壘機(jī)依然不太感冒,其實(shí)是沒(méi)有充分認(rèn)識(shí)到堡壘機(jī)的IT管理中的重要作用的,很多人覺(jué)得,堡壘機(jī)就是跳板機(jī),其實(shí)這個(gè)認(rèn)識(shí)是不全面的,跳板功能只是堡壘機(jī)所具備的功能屬性中的其中一項(xiàng)而已,下面我就給大家介紹一下堡壘機(jī)的重要性,以幫助大家參考自己公司的業(yè)務(wù)是否需要部署堡壘機(jī)。
堡壘機(jī)有一下兩個(gè)至關(guān)重要功能:
權(quán)限管理
當(dāng)你公司的服務(wù)器越來(lái)越多后,需要操作這些服務(wù)器的人就肯定不只是一個(gè)運(yùn)維人員,同時(shí)也可能包括多個(gè)開發(fā)人員,那么這么多的人操作業(yè)務(wù)系統(tǒng),如果全下分配不當(dāng)就會(huì)存在很大的安全風(fēng)險(xiǎn),舉幾個(gè)場(chǎng)景例子:
1.設(shè)想你們公司有300臺(tái)linux服務(wù)器,A開發(fā)人員需要登錄其中5臺(tái)WEB服務(wù)器查看日志或進(jìn)行問(wèn)題追蹤等事務(wù),同時(shí)對(duì)另外10臺(tái)hadoop服務(wù)器擁有root權(quán)限,在有300臺(tái)服務(wù)器規(guī)模的網(wǎng)絡(luò)中,按常理來(lái)講你是已經(jīng)使用了ldap權(quán)限統(tǒng)一認(rèn)證的,你如何使這個(gè)開發(fā)人員只能以普通用戶的身份登錄5臺(tái)web服務(wù)器,并且同時(shí)允許他以管理員的身份登錄另外10臺(tái)hadoop服務(wù)器呢?并且同時(shí)把其他剩下的200多臺(tái)服務(wù)器沒(méi)有訪問(wèn)權(quán)限。
2.目前據(jù)我了解,很多公司的運(yùn)維團(tuán)隊(duì)為了方面,整個(gè)運(yùn)維團(tuán)隊(duì)的運(yùn)維人員還是共享同一套root密碼,這樣內(nèi)部信任機(jī)制雖然使大家的工作方便了,但同時(shí)存在著極大的安全隱患,很多情況下,一個(gè)運(yùn)維人員只需要管理固定數(shù)量的服務(wù)器,畢竟公司分為不同的業(yè)務(wù)線,不同的運(yùn)維人員管理的業(yè)務(wù)線也不同,但如果共享一套root密碼,其實(shí)就等于無(wú)限放大了每個(gè)運(yùn)維人員的權(quán)限,也就是說(shuō),如果某個(gè)運(yùn)維人員想干壞事的話,他可以在幾分鐘內(nèi)把整個(gè)公司的業(yè)務(wù)停轉(zhuǎn),甚至數(shù)據(jù)都給刪除掉。為了降低風(fēng)險(xiǎn),于是有人想到,把不同業(yè)務(wù)線的root密碼改掉就ok了么,也就是每個(gè)業(yè)務(wù)線的運(yùn)維人員只知道自己的密碼,這當(dāng)然是最簡(jiǎn)單有效的方式,但問(wèn)題是如果你同時(shí)用了ldap,這樣做又比較麻煩,即使你設(shè)置了root不通過(guò)ldap認(rèn)證,那新問(wèn)題就是,每次有運(yùn)維人員離職,他所在的業(yè)務(wù)線的密碼都需要重新改一次。
其實(shí)上面的問(wèn)題,我覺(jué)得可以很簡(jiǎn)單的通過(guò)堡壘機(jī)來(lái)實(shí)現(xiàn),收回所有人員的直接登錄服務(wù)器的權(quán)限,所有的登錄動(dòng)作都通過(guò)堡壘機(jī)授權(quán),運(yùn)維人員或開發(fā)人員不知道遠(yuǎn)程服務(wù)器的密碼,這些遠(yuǎn)程機(jī)器的用戶信息都綁定在了堡壘機(jī)上,堡壘機(jī)用戶只能看到他能用什么權(quán)限訪問(wèn)哪些遠(yuǎn)程服務(wù)器。
?
在回收了運(yùn)維或開發(fā)人員直接登錄遠(yuǎn)程服務(wù)器的權(quán)限后,其實(shí)就等于你們公司生產(chǎn)系統(tǒng)的所有認(rèn)證過(guò)程都通過(guò)堡壘機(jī)來(lái)完成了,堡壘機(jī)等于成了你們生產(chǎn)系統(tǒng)的SSO(single sign on)模塊了。你只需要在堡壘機(jī)上添加幾條規(guī)則就能實(shí)現(xiàn)以下權(quán)限控制了:
允許A開發(fā)人員通過(guò)普通用戶登錄5臺(tái)web服務(wù)器,通過(guò)root權(quán)限登錄10臺(tái)hadoop服務(wù)器,但對(duì)其余的服務(wù)器無(wú)任務(wù)訪問(wèn)權(quán)限
多個(gè)運(yùn)維人員可以共享一個(gè)root賬戶,但是依然能分辨出分別是誰(shuí)在哪些服務(wù)器上操作了哪些命令,因?yàn)楸緳C(jī)賬戶是每個(gè)人獨(dú)有的,也就是說(shuō)雖然所有運(yùn)維人員共享了一同一個(gè)遠(yuǎn)程root賬戶,但由于他們用的堡壘賬戶都是自己獨(dú)有的,因此依然可以通過(guò)堡壘機(jī)控制每個(gè)運(yùn)維人員訪問(wèn)不同的機(jī)器。
審計(jì)管理
審計(jì)管理其實(shí)很簡(jiǎn)單,就是把用戶的所有操作都紀(jì)錄下來(lái),以備日后的審計(jì)或者事故后的追責(zé)。在紀(jì)錄用戶操作的過(guò)程中有一個(gè)問(wèn)題要注意,就是這個(gè)紀(jì)錄對(duì)于操作用戶來(lái)講是不可見的,什么意思?就是指,無(wú)論用戶愿不愿意,他的操作都會(huì)被紀(jì)錄下來(lái),并且,他自己如果不想操作被紀(jì)錄下來(lái),或想刪除已紀(jì)錄的內(nèi)容,這些都是他做不到的,這就要求操作日志對(duì)用戶來(lái)講是不可見和不可訪問(wèn)的,通過(guò)堡壘機(jī)就可以很好的實(shí)現(xiàn)。
堡壘機(jī)架構(gòu)?
堡壘機(jī)的主要作用權(quán)限控制和用戶行為審計(jì),堡壘機(jī)就像一個(gè)城堡的大門,城堡里的所有建筑就是你不同的業(yè)務(wù)系統(tǒng) , 每個(gè)想進(jìn)入城堡的人都必須經(jīng)過(guò)城堡大門并經(jīng)過(guò)大門守衛(wèi)的授權(quán),每個(gè)進(jìn)入城堡的人必須且只能嚴(yán)格按守衛(wèi)的分配進(jìn)入指定的建筑,且每個(gè)建筑物還有自己的權(quán)限訪問(wèn)控制,不同級(jí)別的人可以到建筑物里不同樓層的訪問(wèn)級(jí)別也是不一樣的。還有就是,每個(gè)進(jìn)入城堡的人的所有行為和足跡都會(huì)被嚴(yán)格的監(jiān)控和紀(jì)錄下來(lái),一旦發(fā)生犯罪事件,城堡管理人員就可以通過(guò)這些監(jiān)控紀(jì)錄來(lái)追蹤責(zé)任人。?
堡壘要想成功完全記到他的作用,只靠堡壘機(jī)本身是不夠的, 還需要一系列安全上對(duì)用戶進(jìn)行限制的配合,堡壘機(jī)部署上后,同時(shí)要確保你的網(wǎng)絡(luò)達(dá)到以下條件:
- 所有人包括運(yùn)維、開發(fā)等任何需要訪問(wèn)業(yè)務(wù)系統(tǒng)的人員,只能通過(guò)堡壘機(jī)訪問(wèn)業(yè)務(wù)系統(tǒng)
- 回收所有對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限,做到除了堡壘機(jī)管理人員,沒(méi)有人知道業(yè)務(wù)系統(tǒng)任何機(jī)器的登錄密碼
- 網(wǎng)絡(luò)上限制所有人員只能通過(guò)堡壘機(jī)的跳轉(zhuǎn)才能訪問(wèn)業(yè)務(wù)系統(tǒng)?
- 確保除了堡壘機(jī)管理員之外,所有其它人對(duì)堡壘機(jī)本身無(wú)任何操作權(quán)限,只有一個(gè)登錄跳轉(zhuǎn)功能
- 確保用戶的操作紀(jì)錄不能被用戶自己以任何方式獲取到并篡改
?
堡壘機(jī)功能實(shí)現(xiàn)需求
業(yè)務(wù)需求:
功能需求:
設(shè)計(jì)表結(jié)構(gòu):
實(shí)現(xiàn)思路:
堡壘機(jī)執(zhí)行流程:
轉(zhuǎn)載于:https://www.cnblogs.com/chaishao/p/6029402.html
總結(jié)
以上是生活随笔為你收集整理的python基础(十三)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: activiti jbpm相关资源
- 下一篇: 卧槽,入职 3 天就“偷”代码,备份 6