微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服

推薦產品 Recommended products

ANYSEC-企業無線產品
ANYSEC-企業無線產品
行業資訊

中科網威官網 - 首頁 - 行業資訊

IT運維人員如何管理搭建堡壘機

時間:2019-08-13點擊:54

現在一定規模互聯網企業,往往都擁有大量服務器,如何安全并高效的管理這些服務器是每個系統運維或安全運維人員必要工作。現在比較常見的方案是搭建堡壘機(跳板機)環境作為線上服務器的入口,所有服務器只能通過堡壘機進行登陸訪問,合格的堡壘機個人以為要滿足以下功能需求 1 線上機器要實現免密登陸 2 密碼對所有普通用戶不可見 3 不同用戶擁有不同機器登陸權限 4 不同用戶可登陸機器的操作權限可控制 5 操作記錄可審計 。假設服務器全是linux系統,日常管理通過ssh,不知道有沒有比較好的開源方案或者技術思路來實現以上需求?像bat這些大企業中服務器都是數萬級別的,他們又是怎么進行管理的?

blob.png 

在管理設計之前,先整理出堡壘機要覆蓋的基本功能點:
1、服務器統一賬號權限管理,包括哪些用戶可以對哪些服務器進行login,哪些用戶有sudo權限;
2、用戶行為記錄,可在必要時回看審查,用戶登錄校驗審查;
目標是將所有的linux服務器通過堡壘機進行管理把控,將來擴展下,同樣可以通過ssh協議對 交換機、路由器、甚至是 Windows進行管理(目前windows已經可以實現通過ssh登錄,不過這種方式就沒有圖形界面了且只能通過powershell來進行管理)。堡壘機(跳板機)架構設計基于以上幾點功能點,設計架構如下:

blob.png 

下面對這個架構圖做下說明:整體分為三層,總體來說,
第一層 校驗用戶是否有登錄堡壘機的權限; 
第二層真正為用戶分配權限,同時判斷經過第一層的用戶是否有對目標機器操作的權限;
第三層則是真正登錄/操作服務器的方式,在這里我將服務器的auth+sudo權限通過ldap來進行分布式動態管理,稍后會有專門的說明;

第一層:
登錄入口,凡是有堡壘機使用權限的均可以由此入口處登錄成功。
涉及主要服務: user login shell。
服務主要功能:
讀取用戶信息,判斷是否有登錄權限;
調用動態Token服務,驗證用戶passwd;
調用動態token服務,實現二維碼掃碼快速登錄;
調用第二層中的授權服務api,獲取&判斷用戶的login權限;
記錄用戶操作日志;
關聯服務:
動態Token服務,類似于google auth,每個人的動態碼均不一樣,每分鐘update一次,以此做登錄堡壘機的校驗,當然如果想簡單,單獨分配一個靜態密碼也可以;
第二層:
授權服務管理,獲取登錄用戶當前的權限ip列表,判斷用戶的操作是否符合預授權。
涉及主要服務:授權管理服務服務主要功能:
設置用戶/team的 權限列表;
將權限數據下發至第三層的ldap集群;
提供api獲取用戶的權限list;
關聯服務:
CMDB,以cmdb中的服務樹為基本單位做授權,同時在cmdb中判斷授權的服務器對象是否有效;
OA,以oa中的用戶組為基本單位做權限授予,同時基于oa來判斷用戶是否有效;
第三層:
登錄實體服務器&執行命令;
將所有目標服務器的ssh登錄體系對接ldap集群,通過在ldap中設置用戶的publickey & sudo等信息,來統一控制用戶的登錄權限&sudo權限。目標規模:
使用兩臺服務器做ldap主從集群,所有實體服務器對接此集群,從而統一進行auth驗證。 

 

 

 

 

 

推薦產品 Recommended products

ANYSEC-企業無線產品
pk10赛车直播网址