近期出于管理和檢查需要,機關上司要求上堡壘機系統,測試了幾個商業堡壘機,因為價格超過預算等原因都未購買,又測試了三個開源的堡壘機,感覺麒麟開源堡壘機功能最全,基本上和商業堡壘機一樣,唯一的問題就是圖形部分不開源,但因為我們的伺服器基本上全是linux環境,telnet、ssh、ftp、sftp已經足夠了是以将這套堡壘機已經用于生産環境。
現在市場商業堡壘機價格太高,基本上都要到10萬左右,我結合在公司部署開源堡壘機的經驗,将過程寫成文檔與大家分享。
我測試的其它開源堡壘機基本上還是半成品,麒麟堡壘機基本上已經是一個成品堡壘機,但是還是存在某些小bug,可以自己修改源代碼改掉。
麒麟堡壘機安裝條件:
1. 系統必須至少有二塊網卡,一塊網卡安裝時會報錯,如果是虛機虛2塊網卡出來。
2. 系統最低硬體配置為:intel 64位cpu、4g記憶體、200g硬碟。(注意:32位cpu裝不上)。
安裝過程:
麒麟堡壘機安裝過程非常簡單,用CD光牒啟動,一回車,完全無人值守安裝,不需要任何的幹涉(安裝過程贊一個,基本上可以給95分)。
過程圖如下:
插入光驅進行啟動,會到安裝界面,在”blj”那裡直接回車(ps:如果使用筆記本進行虛機安裝,先選擇”install pcvm”,方式使用500m swap, 預設安裝方式使用32g swap,這幾個安裝方式主要就是swap大小不同,如果使用虛機方式安裝堡壘機,有可能出現swap不夠用問題)。
我的硬體實體機為8g記憶體,普通的e3 單個cpu,2t 序列槽硬碟,安裝過程大約要等30分鐘左右,安裝完畢,系統重新開機,退出CD光牒即可。
系統配置:
1. 安裝過後,系統預設ip為: eth0 192.168.1.100/24,可以直接使用筆記本配置一個同網段的ip,然後直接連到eth0上,使用ie輸入 https://192.168.1.100登入,預設密碼為admin/12345678,登入後到系統配置-網絡配置-網絡配置中,編輯eth0口,将ip位址、掩碼、網關修改成自己的,點儲存修改,系統會将ip修改為本地ip。
2. 麒麟堡壘機使用的centos 7.1系統(ps:太新了!),背景登入密碼也給了(這個太優越于商用堡壘機了),技術大神可以直接到背景修改ip即可,注意背景 ssh端口為2288,使用者名密碼為 root/baoleiji123
3. 系統配置好後,如果你要用圖形協定,需要找開發者申請圖形的licenses,如果隻用字元的,就可以直接使用了,我這裡全是linux,是以沒有進行licenses申請,麒麟堡壘機上線我主要做了四步:
建立目錄結構—導入堡壘機帳号(主帳号)—導入伺服器帳号(從帳号)—主從帳号關聯授權,說真的,比商業堡壘機都要好用。
4. 建立目錄結構:
目錄是類于裝置組和使用者組,麒麟堡壘機是ldap結構,組裡可以放使用者也可以放裝置,我覺得這點不友善,我是把使用者和裝置分别建組,在添加使用者、裝置時,一定要先加組,因為沒有組的話裝置和使用者加不上。
資源管理-資産管理-目錄管理,頁簽,單擊“增加新節點”;根據所要建立的組類型選擇“所屬目錄”與“屬性”。
5. ps:“節點名”輸入節點的名稱,“所屬目錄”新建立目錄所屬那個父組,目錄樹可以無限級目錄,堡壘機配置前必須先将目錄樹配置完畢才能進行使用者和裝置的導入,使用者和裝置導入時,必須有配置好的目錄樹。
6. 導入堡壘機帳号(主帳号),菜單-資源管理-資産管理-使用者管理中,預設有四個帳号: admin、audit、password、test,如果帳号少,可以一個一個加,我這裡運維人員有40多個,是以我用的導入方式,隻要點一下導出就會下來一個csv 模版,按模版填進去再導回去就行了。
導出後,csv表隻需要填:
使用者名:運維人員登入堡壘機時的名稱,要求唯一(必須填寫)
密碼:運維人員登入堡壘機時的密碼 (必須填寫)
真實姓名:運維人員的真實姓名 (必須填寫)
電子郵箱:運維人員的電子郵箱位址(選擇填寫)
使用者權限:統一配置為 普通使用者 (必須填寫)
組名:目錄結構中的資源組名稱,如果出現同樣名稱的資源組,則導入時需要用組名(id)方式: 比如出現重名的first組,如果你想在界面中這個組加入,則組名為first(221)
填好後,把第一行test那行删除,然後點導入菜單,注意:一定要勾上加密!不然導進去用不了。
7. 伺服器帳号(從帳号)導入,麒麟堡壘機在導入從帳号時會自動建立伺服器,是以隻需要在資源管理-資産管理-裝置清單中導出一個csv檔案,按檔案進行填寫,然後導入即可以完成裝置、裝置帳号的錄入:
一般隻需要a到h列,後面隻要複制模版中的即可,各列說明如下:
主機名:主機的名稱
ip:主機的ip位址
伺服器組:伺服器所屬組的id号,因為目錄中允許同名稱的組,是以,伺服器組用id号替代,可以在資産管理-資源管理-目錄節點中檢視id号,如下圖:
系統類型:主機的作業系統類型,必須在第一章中添加的或系統自帶的中選擇添加。
系統使用者:系統使用者名,如果不想托管,則這項不填。
目前密碼:系統播放的密碼,如果不想托管,則這項可以不填。
登入協定:目前支援telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在這些登入方式中選擇相應的
端口:登入協定連接配接的目标端口
過期時間:這個系統帳号的過期時間,如果超過過期時間,則不在允許登入
自動修改密碼:是否對這個帳号進行自動修改密碼(預設為否)
主帳号:自動修改密碼時隻使用一個帳号登入修改主機上所有的使用者密碼,如果是主帳号,則填是,主帳号一般為root權限或可以sudo 為root
自動登入:預設填是
堡壘機使用者:均填否
sftp使用者 :如果是ssh服務,則設定這個ssh使用者是否可以使用sftp服務,是為允許,否為不允許
公私鑰使用者:如果是ssh服務,設定這個ssh使用者認證是不是使用公私鑰方式,是或否
填好後點導入按鈕導回,注意,也一定要勾上加密
9.系統授權,堡壘機帳号(主帳号)、主機系統帳号(從帳号)導入完成後,需要進行賦權操作,賦權後堡壘機帳号(主帳号)登入到堡壘機才能跳轉到相應的裝置。
賦權操作如果一個堡壘機帳号(主帳号)有大量從帳号的權限,則賦權是在系統使用者組菜單完成的,如果為堡壘機帳号(主帳号)臨時添加一個從帳号的賦權,則也可以在主機裝置帳号菜單中完成。
賦權操作最好按使用者組的方式進行賦,即将權限相同的使用者放在同一個使用者組中,然後為這個使用者組建立一個系統使用者組,将這些使用者擁有權限的主機裝置帳号都加到這個組中,然後将這個系統使用者組綁定給這個使用者組,如果每個使用者的權限都不一樣,也可以為單獨的使用者劃分系統使用者組後進行授權。
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統使用者組”頁簽,單擊“添加新組”;填寫“系統使用者組”名,選中“未選裝置”中系統使用者添加到“已選裝置”,确定已經選中想要賦權的堡壘機使用者組的所有系統帳号後,點選“儲存”;
單擊導航樹中【資源管理】中的【授權權限】,選擇“系統使用者組”頁簽,單擊“操作”欄中“授權”,勾選“授權組”或“授權使用者”,配置完成單擊“儲存修改”;
授權後,組中的使用者或被授權的使用者,就擁有了這個系統使用者組中所有的主機系統帳号的權限。
到此,堡壘機的設定就完成了,下面說一說我的心得
堡壘機對于運維人員有幾個好的地方:
1.麒麟堡壘機的插件支援任何浏覽器(我測試的商業版本,firefox和chrome隻能使用java方式);
2.麒麟堡壘機有一個透明登入的功能非常好用,就是在設定好權限後,在清單導出裡導出secrecrt的清單,然後導到crt的sessions目錄,在登入裝置時,是直接登入,根本感覺不到堡壘機的存在,這個功能必須要贊。