碼上歡樂
相關內容    簡體    繁體

CrazyEye,一款國人開源的堡壘機軟件(alex 李傑)

本文轉載自   查看原文   2015-10-13 14:42   10190    運維自動化

本文根據高效運維系列微信群「坐而論道」活動整理而成。“高效運維”公眾號作為本系列群的官方唯一公眾號,原創並獨家首發。

歡迎關注“高效運維”公眾號,以免費參加「運維講壇」每月一次的線下交流活動;並搶先賞閱干貨滿滿的各種原創文章(詳見文末)。

編輯

  • Alex(作者)
  • 高浩淼 (整理)

嘉賓介紹

Alex

多年運維+自動化開發經驗,曾任職公安部、飛信、Nokia中國、中金公司、Advent軟件、汽車之家等公司,目前任老男孩教育Python教學總監,熱愛技術、電影、音樂、旅游、妹子!

主題簡介

CrazyEye碉堡機誕生記及主要功能介紹,文末會有本軟件的開源地址,謝謝關注。

編者:堡壘機有多重要?您也可以關注這篇文章:撕下高冷的面紗:怎么從“生活”解讀“安全”

正文

假期姑娘們都不在身邊,又不想到處去看人海,所以呆在家里開發了個堡壘機,現已開源,歡迎大家試用,在使用前,容我先跟大家介紹下堡壘機的重要性!

到目前為止,很多公司對堡壘機依然不太感冒,其實是沒有充分認識到堡壘機在IT管理中的重要作用的,很多人覺得,堡壘機就是跳板機,其實這個認識是不全面的,跳板功能只是堡壘機所具備的功能屬性中的其中一項而已,下面我就給大家介紹一下堡壘機的重要性,以幫助大家參考自己公司的業務是否需要部署堡壘機。

堡壘機有以下兩個至關重要的功能,權限管理和審計管理,以下我們分別論述之。

權限管理

當你公司的服務器變的越來越多后,需要操作這些服務器的人就肯定不只是一個運維人員,同時也可能包括多個開發人員,那么這么多的人操作業務系統,如果權限分配不當就會存在很大的安全風險,舉幾個場景例子:

  1. 設想你們公司有300台Linux服務器,A開發人員需要登錄其中5台WEB服務器查看日志或進行問題追蹤等事務,同時對另外10台hadoop服務器有root權限。

    在有300台服務器規模的網絡中,按常理來講你是已經使用了ldap權限統一認證的,你如何使這個開發人員只能以普通用戶的身份登錄5台web服務器。

    並且同時允許他以管理員的身份登錄另外10台hadoop服務器呢?並且同時他對其它剩下的200多台服務器沒有訪問權限。

  2. 目前據我了解,很多公司的運維團隊為了方便,整個運維團隊的運維人員還是共享同一套root密碼,這樣內部信任機制雖然使大家的工作方便了,但同時存在着極大的安全隱患。

    很多情況下,一個運維人員只需要管理固定數量的服務器,畢竟公司分為不同的業務線,不同的運維人員管理的業務線也不同,但如果共享一套root密碼,其實就等於無限放大了每個運維人員的權限。

    也就是說,如果某個運維人員想干壞事的話,他可以在幾分鍾內把整個公司的業務停轉,甚至數據都給刪除掉。

    為了降低風險,於是有人想到,把不同業務線的root密碼改掉就ok了么,也就是每個業務線的運維人員只知道自己的密碼,這當然是最簡單有效的方式。

    但問題是如果你同時用了ldap,這樣做又比較麻煩,即使你設置了root不通過ldap認證,那新問題就是,每次有運維人員離職,他所在的業務線的密碼都需要重新改一次。

其實上面的問題,我覺得可以很簡單的通過堡壘機來實現,收回所有人員的直接登錄服務器的權限,所有的登錄動作都通過堡壘機授權。

運維人員或開發人員不知道遠程服務器的密碼,這些遠程機器的用戶信息都綁定在了堡壘機上,堡壘機用戶只能看到他能用什么權限訪問哪些遠程服務器。

在回收了運維或開發人員直接登錄遠程服務器的權限后,其實就等於你們公司生產系統的所有認證過程都通過堡壘機來完成了,堡壘機等於成了你們生產系統的SSO(single sign on)模塊了。你只需要在堡壘機上添加幾條規則就能實現以下權限控制了:

允許A開發人員通過普通用戶登錄5台web服務器,通過root權限登錄10台hadoop服務器,但對其余的服務器無任務訪問權限。

多個運維人員可以共享一個root賬戶,但是依然能分辨出分別是誰在哪些服務器上操作了哪些命令,因為堡壘機賬戶是每個人獨有的。

也就是說雖然所有運維人員共享了一同一個遠程root賬戶,但由於他們用的堡壘賬戶都是自己獨有的,因此依然可以通過堡壘機控制每個運維人員訪問不同的機器。

創建主機

創建遠程用戶

創建主機與遠程用戶綁定關系

創建CrazyEye賬戶

配置WebSSH

CrazyEye首頁

批量命令

批量文件分發

配置頁

審計管理

審計管理其實很簡單,就是把用戶的所有操作都紀錄下來,以備日后的審計或者事故后的追責。在紀錄用戶操作的過程中有一個問題要注意,就是這個紀錄對於操作用戶來講是不可見的,什么意思?

就是指,無論用戶願不願意,他的操作都會被紀錄下來,並且,他自己如果不想操作被紀錄下來,或想刪除已紀錄的內容,這些都是他做不到的,這就要求操作日志對用戶來講是不可見和不可訪問的,通過堡壘機就可以很好的實現。

審計By用戶

審計By主機

審計—命令操作詳細

開源

CrazyEye 和其他開源產品的區別在於,是一款堡壘機+主機管理的軟件。支持Linux主機操作審計,目前不支持Windows(已列入支持計划),並支持對主機進行批量命令、文件分發操作,后期還會加入計划任務管理,敬請期待。

軟件git地址:

https://github.com/triaquae/CrazyEye.git

如有問題可以聯系我,或直接在文末評論。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 使用開源軟件 jumpserver 搭造自己的堡壘機 KiCad,一款開源的PCB設計軟件 一起做一款開源軟件吧--開源軟件誕生1 國人開源了一款超好用的 Redis 客戶端,真香!! 為什么要做一款ERP軟件——開源軟件誕生7 基於springBoot的開源堡壘機(跳板機)軟件——WGCLOUD 開源堡壘機_jumpserver 優分享VR開源啦,優分享VR是基於Google VR開發的一款手機VR視頻資源的聚合軟件 Spring Boot 實戰:我們的第一款開源軟件 一款開源且超好用的網站克隆機 HTTrack
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM