一、權限管理
當你公司的服務器變的越來越多后,需要操作這些服務器的人就肯定不只是一個運維人員,同時也可能包括多個開發人員,那么這么多的人操作業務系統,如果權限分配不當就會存在很大的安全風險,舉幾個場景例子:
-
設想你們公司有300台Linux服務器,A開發人員需要登錄其中5台WEB服務器查看日志或進行問題追蹤等事務,同時對另外10台hadoop服務器有root權限,在有300台服務器規模的網絡中,按常理來講你是已經使用了ldap權限統一認證的,你如何使這個開發人員只能以普通用戶的身份登錄5台web服務器,並且同時允許他以管理員的身份登錄另外10台hadoop服務器呢?並且同時他對其它剩下的200多台服務器沒有訪問權限
-
目前據我了解,很多公司的運維團隊為了方面,整個運維團隊的運維人員還是共享同一套root密碼,這樣內部信任機制雖然使大家的工作方便了,但同時存在着極大的安全隱患,很多情況下,一個運維人員只需要管理固定數量的服務器,畢竟公司分為不同的業務線,不同的運維人員管理的業務線也不同,但如果共享一套root密碼,其實就等於無限放大了每個運維人員的權限,也就是說,如果某個運維人員想干壞事的話,他可以在幾分鍾內把整個公司的業務停轉,甚至數據都給刪除掉。為了降低風險,於是有人想到,把不同業務線的root密碼改掉就ok了么,也就是每個業務線的運維人員只知道自己的密碼,這當然是最簡單有效的方式,但問題是如果你同時用了ldap,這樣做又比較麻煩,即使你設置了root不通過ldap認證,那新問題就是,每次有運維人員離職,他所在的業務線的密碼都需要重新改一次。
其實上面的問題,我覺得可以很簡單的通過堡壘機來實現,收回所有人員的直接登錄服務器的權限,所有的登錄動作都通過堡壘機授權,運維人員或開發人員不知道遠程服務器的密碼,這些遠程機器的用戶信息都綁定在了堡壘機上,堡壘機用戶只能看到他能用什么權限訪問哪些遠程服務器。
在回收了運維或開發人員直接登錄遠程服務器的權限后,其實就等於你們公司生產系統的所有認證過程都通過堡壘機來完成了,堡壘機等於成了你們生產系統的SSO(single sign on)模塊了。你只需要在堡壘機上添加幾條規則就能實現以下權限控制了:
-
允許A開發人員通過普通用戶登錄5台web服務器,通過root權限登錄10台hadoop服務器,但對其余的服務器無任務訪問權限
-
多個運維人員可以共享一個root賬戶,但是依然能分辨出分別是誰在哪些服務器上操作了哪些命令,因為堡壘機賬戶是每個人獨有的,也就是說雖然所有運維人員共享了一同一個遠程root賬戶,但由於他們用的堡壘賬戶都是自己獨有的,因此依然可以通過堡壘機控制每個運維人員訪問不同的機器。
二、審計管理
審計管理其實很簡單,就是把用戶的所有操作都紀錄下來,以備日后的審計或者事故后的追責。在紀錄用戶操作的過程中有一個問題要注意,就是這個紀錄對於操作用戶來講是不可見的,什么意思?就是指,無論用戶願不願意,他的操作都會被紀錄下來,並且,他自己如果不想操作被紀錄下來,或想刪除已紀錄的內容,這些都是他做不到的,這就要求操作日志對用戶來講是不可見和不可訪問的,通過堡壘機就可以很好的實現。
三、堡壘機架構
堡壘機的主要作用權限控制和用戶行為審計,堡壘機就像一個城堡的大門,城堡里的所有建築就是你不同的業務系統 , 每個想進入城堡的人都必須經過城堡大門並經過大門守衛的授權,每個進入城堡的人必須且只能嚴格按守衛的分配進入指定的建築,且每個建築物還有自己的權限訪問控制,不同級別的人可以到建築物里不同樓層的訪問級別也是不一樣的。還有就是,每個進入城堡的人的所有行為和足跡都會被嚴格的監控和紀錄下來,一旦發生犯罪事件,城堡管理人員就可以通過這些監控紀錄來追蹤責任人。
堡壘要想成功完全記到他的作用,只靠堡壘機本身是不夠的, 還需要一系列安全上對用戶進行限制的配合,堡壘機部署上后,同時要確保你的網絡達到以下條件:
- 所有人包括運維、開發等任何需要訪問業務系統的人員,只能通過堡壘機訪問業務系統
- 回收所有對業務系統的訪問權限,做到除了堡壘機管理人員,沒有人知道業務系統任何機器的登錄密碼
- 網絡上限制所有人員只能通過堡壘機的跳轉才能訪問業務系統
- 確保除了堡壘機管理員之外,所有其它人對堡壘機本身無任何操作權限,只有一個登錄跳轉功能
- 確保用戶的操作紀錄不能被用戶自己以任何方式獲取到並篡改
四、堡壘機功能實現需求
業務需求:
- 兼顧業務安全目標與用戶體驗,堡壘機部署后,不應使用戶訪問業務系統的訪問變的復雜,否則工作將很難推進,因為沒人喜歡改變現狀,尤其是改變后生活變得更艱難
- 保證堡壘機穩定安全運行, 沒有100%的把握,不要上線任何新系統,即使有100%把握,也要做好最壞的打算,想好故障預案
功能需求:
- 所有的用戶操作日志要保留在數據庫中
- 每個用戶登錄堡壘機后,只需要選擇具體要訪問的設置,就連接上了,不需要再輸入目標機器的訪問密碼
- 允許用戶對不同的目標設備有不同的訪問權限,例:
- 對10.0.2.34 有mysql 用戶的權限
- 對192.168.3.22 有root用戶的權限
- 對172.33.24.55 沒任何權限
- 分組管理,即可以對設置進行分組,允許用戶訪問某組機器,但對組里的不同機器依然有不同的訪問權限
五、設計表結構:
1、直接通過linux用戶和密碼登錄
2、通過ssh公鑰登錄
秘鑰生成命令 1.ssh-keygen .ssh/.id_rsa 私鑰 .ssh/.id_rsa.pub 公鑰 2. 把公鑰copy到要登錄的目標機器上 scp -rp id_rsa alex@192.168.10.35:/home/alex/ #把本地文件copy到遠程 scp -rp alex@192.168.10.35:/home/alex/id_rsa /tmp/ #把遠程文件copy到本地 查看當前用戶id, whoami su - alex 切換用戶 cat id_rsa.pub >authorized_keys 讀出id_rsa.pub的內容並寫入到>后的文件,(覆蓋) cat id_rsa.pub >>authorized_keys 讀出id_rsa.pub的內容並寫入到>后的文件,(追加) 3. 在目標機器上,把id_rsa.pub里的key取出寫入.ssh/authorized_keys
ubuntu系統:
#安裝paramiko sudo pip3 install -i http://pypi.douban.com/simple/ paramiko --trusted-host pypi.douban.com #搜索所有可用的安裝包 sudo apt-cache search openssl #安裝 libssl-dev sudo apt-get install libssl-dev
開機自動加載保壘機程序方法:
在普通用戶家目錄下面:
vim home/taram/.bashrc 把這段代碼加到文件結尾: python3 s3CrazyEye/crazyeye_manager.py run logout
六、安裝shellinabox-master
插件介紹:通過web頁面管理linux主機(電腦版)
軟件安裝:
#安裝依賴包 yum install git openssl-devel pam-devel zlib-devel autoconf automake libtool -y mkdir -p /home/nulige/tools cd /home/nulige/tools #下載軟件包 git clone https://github.com/shellinabox/shellinabox.git && cd shellinabox #安裝軟件需要的組件 autoreconf -i #編譯安裝軟件 ./configure --prefix=/usr/local/shellinabox make && makeinstall #進入軟件目錄 cd /usr/local/shellinabox/bin #啟動軟件 ./shellinaboxd -t -b
#檢查4200端口是否啟動
[root@paramiko-server ~]# netstat -lnt Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:4200 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 :::22 :::* LISTEN
#訪問網站
#查看本機ip地址,然后ip+4200端口,就可以訪問啦! http://192.168.30.130:4200/
#在linux保壘機上面新建一個普通用戶
#創建普通用戶
useradd jojo #設置密碼 passwd jojo 輸入兩遍密碼:123456
#登錄shellinabox
名稱:WebShell
插件介紹:通過web頁面管理linux主機(手機版)
yum install openssl python pyOpenSSL ./make_certificate.sh ./webshell.py
運行效果:
