開源堡壘機teleport測試

本文轉載自查看原文 2021-08-07 22:42 121

開源堡壘機teleport測試

一、需求引入

　　最近我們雲上的堡壘機不是過期（一年期）就是授權到期。過期顧名思義就是買了一年期的堡壘機到期啦（阿里雲），天翼的堡壘機授權到期提醒就不知道啥情況了（本人一直感覺天翼的東西都比較奇奇怪怪的：問題多、破事多、還不穩定。。唯一比阿里好的是工單回復24小時有效，試過半夜11點多還打電話來的）

　　然后跟電信的客戶經理反饋這個問題（系統天天發消息），說給我緊急安排續訂，周三的時候說弄個臨時授權文件給我導進去，周四再給我申請正式授權。而且，叫我導進去的時間還要求是半夜12點左右，就是周四凌晨。於是那晚我提前閉目養神，調了個23:55分的鬧鍾，一到12點干活，發現不行，幸好那會有值班人員，說第二天早上給我跟進申請，然而也拯救不了第二天被同事說眼睛腫脹的問題（雖然12點10分左右導不進去，已放棄上床睡覺，但是像打了雞血一樣折騰到1點多才睡得着）

二、需求實現--部署篇

　　第二天上班，堡壘機果然登不上了。准確地來說，是堡壘機客戶端登不上了，遠程連接工具直連還是可以的。

　　對於這個問題，我細思極恐。如果直連也封了，意味着我要登陸控制台，各個機器的ssh端口都要開起來，目前做的端口規則開放都是盡可能最小范圍的。這樣子會搞到我工作量異常大。如果突然需要緊急連多台服務器，剛好把端口開起來生效時間沒那么快。。。等着一大坨人圍着吧~~~

　　流水文說完。。。正題來了，為啥不搞個自己完全管轄范圍內的堡壘機？！

　　我很久以前就聽說過jumpserver，不過也知道這玩意資源耗費大，而且裝起來也有點麻煩。就找了這款新出的teleport。

　　部署參考文檔如下（排名不分先后）：　　

（1） http://www.itcast.cn/news/20191213/17354333008.shtml

（2） https://tp4a.com/

（3） https://docs.tp4a.com/config/

　　裝的是3.2.2版本，二進制包下載解壓，運行 ./setup.sh 即可。

默認安裝路徑： /usr/local/teleport，目錄結構非常清晰。

[root@baolj-227 ~]# ls /usr/local/teleport/
bin  data  start.sh  status.sh  stop.sh  www
[root@baolj-227 ~]# ls /usr/local/teleport/data
db  etc  log  replay  tmp

　　因為默認數據庫是：sqlite，不熟悉就換mysql吧

1 yum install -y mariadb-server mariadb-devel
2 systemctl start mariadb
3 systemctl enable mariadb

　　記得建庫，而且必須要指定編碼，不然裝完中文顯示問號

create database teleport default character set utf8 collate utf8_general_ci;

三、需求實現--測試篇

　　用了兩天時間測試teleport，毛病是有的，但瑕不掩瑜，基本功能都有了~~~（等領導決定最終是否使用吧）

　　以下記錄一些問題：

1、裝teleport助手

裝好服務器之后，需要裝對應的客戶端（官方有mac，windows版本的，大家自行下載），這里叫teleport助手，用來輔助遠程連接的。

2、支持linux，windows操作回放

　　只要windows遠程桌面端口3389沒關，windows錄像能看的（我特別喜歡這種放電影的感覺，啊哈哈哈）。倍速、快進任君選擇。

3、內網機器能只開放堡壘機連接（默認192.168.0.0/24的機器都能連），方便統一入口

我的teleport的ip是192.168.0.227。

## 只開 22 端口給堡壘機，其他關
[root@測試機器 ~]# iptables -I INPUT -s 192.168.0.227 -p tcp --dport 22 -j ACCEPT
[root@測試機器 ~]# iptables -I INPUT -p tcp --dport 22 -j DROP

4、登陸方式修改為只能用身份驗證器動態密碼

默認堡壘機登陸方式為賬號密碼登陸，現在修改成用動態密碼登