讓運(yùn)維不再背鍋的利器jumpserver堡壘機(jī)-創(chuàng)新互聯(lián)

由于來(lái)源身份不明、越權(quán)操作、密碼泄露、數(shù)據(jù)被竊、違規(guī)操作等因素

創(chuàng)新互聯(lián)公司擁有網(wǎng)站維護(hù)技術(shù)和項(xiàng)目管理團(tuán)隊(duì)，建立的售前、實(shí)施和售后服務(wù)體系，為客戶提供定制化的成都做網(wǎng)站、網(wǎng)站制作、網(wǎng)站維護(hù)、珉田數(shù)據(jù)中心解決方案。為客戶網(wǎng)站安全和日常運(yùn)維提供整體管家式外包優(yōu)質(zhì)服務(wù)。我們的網(wǎng)站維護(hù)服務(wù)覆蓋集團(tuán)企業(yè)、上市公司、外企網(wǎng)站、商城網(wǎng)站開(kāi)發(fā)、政府網(wǎng)站等各類型客戶群體，為全球近千家企業(yè)提供全方位網(wǎng)站維護(hù)、服務(wù)器維護(hù)解決方案。

都可能會(huì)使運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)面臨嚴(yán)重威脅，一旦發(fā)生事故，如果不能快速定位事故原因，運(yùn)維人員往往就會(huì)背黑鍋。

幾種常見(jiàn)的背黑鍋場(chǎng)景

1、由于不明身份利用遠(yuǎn)程運(yùn)維通道***服務(wù)器造成業(yè)務(wù)系統(tǒng)出現(xiàn)異常

     但是運(yùn)維人員無(wú)法明確***來(lái)源，那么領(lǐng)導(dǎo)很生氣、后果很嚴(yán)重

2、只有張三能管理的服務(wù)器，被李四登錄過(guò)并且做了違規(guī)操作

     但是沒(méi)有證據(jù)是李四登錄的，那么張三只能背黑鍋了。

3、運(yùn)維人員不小心泄露了服務(wù)器的密碼。一旦發(fā)生安全事故，那么后果不堪設(shè)想。

4、某服務(wù)器的重要數(shù)據(jù)被竊。但是數(shù)據(jù)文件無(wú)法挽回，那么面臨的是無(wú)法估量的經(jīng)濟(jì)損失

背黑鍋的原因

其實(shí)運(yùn)維工作，出現(xiàn)各種問(wèn)題是在所難免的
不僅要有很好的分析處理能力，而且還要避免問(wèn)題再次發(fā)生。要清楚認(rèn)識(shí)到出現(xiàn)問(wèn)題的真實(shí)原因：

1、沒(méi)有規(guī)范管理，人與服務(wù)器之間的界限不清晰

2、沒(méi)有實(shí)名機(jī)制，登錄服務(wù)器前沒(méi)有實(shí)名驗(yàn)證

3、沒(méi)有密碼托管，服務(wù)器的密碼太多，很難做到定期修改，自己保管怕丟失

4、沒(méi)有操作預(yù)警，對(duì)高危、敏感的操作無(wú)法做到事前防御

5、沒(méi)有傳輸控制，對(duì)重要服務(wù)器無(wú)法控制文件傳輸

6、沒(méi)有回溯過(guò)程，不能完整還原運(yùn)維過(guò)程

解決背黑鍋的必殺技

作為運(yùn)維人員，如何擺脫以上背黑鍋的尷尬局面呢？也許堡壘機(jī)是一個(gè)破解此局面的必殺技。

1、統(tǒng)一入口、規(guī)范管理

提供統(tǒng)一入口，所有運(yùn)維人員只能登錄堡壘機(jī)才能訪問(wèn)服務(wù)器，梳理“人與服務(wù)器”之間的關(guān)系，防止越權(quán)登錄

2、利用手機(jī)APP動(dòng)態(tài)口令等驗(yàn)證機(jī)制

采用手機(jī)APP動(dòng)態(tài)口令、OTP動(dòng)態(tài)令牌、USBKEY、短信口令等雙因素身份實(shí)名鑒別機(jī)制

防止密碼被暴力破解，解決訪問(wèn)身份模糊的問(wèn)題

3、托管服務(wù)器密碼，實(shí)現(xiàn)自動(dòng)改密

通過(guò)堡壘機(jī)定期自動(dòng)修改服務(wù)器的密碼，解決手工修改密碼、密碼泄露和記住密碼的煩惱。

1、可自動(dòng)修改Windows、Linux、Unix、網(wǎng)絡(luò)設(shè)備等操作系統(tǒng)的密碼

2、可以設(shè)置周期或指定時(shí)間執(zhí)行改密任務(wù)

3、可設(shè)定密碼的復(fù)雜度、隨機(jī)密碼、指定密碼、固定密碼格式等

4、可通過(guò)郵件、SFTP、FTP方式自動(dòng)發(fā)送密碼文件給管理員

5、提供密碼容錯(cuò)機(jī)制：改密前自動(dòng)備份、備份失敗不改密、改密后自動(dòng)備份、自動(dòng)恢復(fù)密碼等

4、事中控制，防止違規(guī)操作

作為運(yùn)維人員，如何擺脫以上背黑鍋的尷尬局面呢？也許堡壘機(jī)是一個(gè)破解此局面的必殺技。

1、通過(guò)命令控制策略，攔截高危、敏感的命令

2、通過(guò)命令審核策略，審批需要執(zhí)行但又不能隨意執(zhí)行的命令

3、通過(guò)文件傳輸控制策略，防止數(shù)據(jù)、文件的泄露

5、精細(xì)化審計(jì)，追溯整個(gè)運(yùn)維過(guò)程

堡壘機(jī)要做到文件記錄、視頻回放等精細(xì)化完整審計(jì)，快速定位運(yùn)維過(guò)程：

1、不僅要對(duì)所有操作會(huì)話的在線監(jiān)控、實(shí)時(shí)阻斷、日志回放、起止時(shí)間、來(lái)源用戶

來(lái)源地址、目標(biāo)地址、協(xié)議、命令、操作(如對(duì)文件的上傳、下載、刪除、修改等操作等)等行為記錄。

2、還要能保存SFTP/FTP/SCP/RDP/RZ/SZ傳輸?shù)奈募?/p>

為上傳惡意文件、***、竊取數(shù)據(jù)等危險(xiǎn)行為起到了追蹤依據(jù)。

下面就說(shuō)說(shuō)堡壘機(jī)的具體安裝部署

Jumpserver 是一款由Python編寫(xiě)開(kāi)源的跳板機(jī)(堡壘機(jī))系統(tǒng)，實(shí)現(xiàn)了跳板機(jī)應(yīng)有的功能

基于ssh協(xié)議來(lái)管理，客戶端無(wú)需安裝agent

特點(diǎn)：

完全開(kāi)源，GPL授權(quán)
python編寫(xiě)，容易再次開(kāi)發(fā)
實(shí)現(xiàn)了跳板機(jī)基本功能，認(rèn)證、授權(quán)、審計(jì)
集成了Ansible，批量命令等
支持WebTerminal
Bootstrap編寫(xiě)，界面美觀
自動(dòng)收集硬件信息
錄像回放
命令搜索
實(shí)時(shí)監(jiān)控
批量上傳下載

---

jumpserver 3.0 安裝

相對(duì)于 jumpserver 2.0 版本，在新的版本 3.0 中取消了LDAP授權(quán)，取而代之的是ssh進(jìn)行推送；界面也有所變化

功能更完善，安裝更簡(jiǎn)單，不像 2.0 的版本，難住了好多人。下面通過(guò)兩臺(tái)主機(jī)來(lái)搭建 jumpserver堡壘機(jī)！

環(huán)境：
Centos 6.5 x86_64
關(guān)閉 iptables，關(guān)閉 selinux
jumpserver：192.168.1.200
clients：192.168.1.210
ps：操作只針對(duì) jumpserver，clients 不會(huì)進(jìn)行操作，只是環(huán)境需求。

一、安裝依賴包
yum -y install epel-release
yum clean all && yum makecache
yum -y update
yum -y installGit python-pipMySQL-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel

二、下載 jumpserver
cd /opt
git clonehttps://github.com/jumpserver/jumpserver.git
注： 如果下載失敗，則去github上面下載zip包，unzip解壓縮即可

三、執(zhí)行快速安裝腳本
cd /opt/jumpserver/install

pip install -r requirement.txt

查看安裝的包
pip freeze

python install.py
輸入jumpserver的地址，默認(rèn)為：”192.168.1.200”，回車即可。
是否安裝mysql：選擇”y”進(jìn)行安裝

MySQL 啟動(dòng)后會(huì)要求用戶輸入 郵件服務(wù)器及賬戶

（后期用來(lái)發(fā)送用戶名、ssh pass、web pass、ssh key）

輸入smtp信息之后發(fā)現(xiàn)報(bào)錯(cuò)了，是python的pycrypto模塊問(wèn)題，需要卸載重裝：
pip uninstall pycrypto
easy_install pycrypto

安裝之后繼續(xù) python install.py 進(jìn)行安裝，并且輸入 web管理員用戶名和管理員密碼，ok

四、運(yùn)行 crontab

定期處理失效連接，定期更新資產(chǎn)信息
cd /opt/jumpserver
python manage.py crontab add

注：
1）根據(jù)提示輸入相關(guān)信息，完成安裝，安裝完成后，請(qǐng)?jiān)L問(wèn)web，繼續(xù)查看后續(xù)文檔
2）如果啟動(dòng)失敗，請(qǐng)返回上層目錄，手動(dòng)運(yùn)行 ./service.sh start 啟動(dòng)
3）如果 ./service.sh start 啟動(dòng)失敗

cd /opt/jumpserver
python manage.py runserver 0.0.0.0:80
python run_websocket.py

4）如果啟動(dòng)失敗，可能是由于80端口和3000端口已經(jīng)被占用，或者數(shù)據(jù)庫(kù)賬號(hào)密碼不對(duì)，請(qǐng)檢查

五、Web登錄
http://192.168.1.200

注意：
在使用jumpserver過(guò)程中，有一步是系統(tǒng)用戶推送，要推送成功，client（后端服務(wù)器）要滿足以下條件：
1）后端服務(wù)器需要有python、sudo環(huán)境才能使用推送用戶，批量命令等功能
2）后端服務(wù)器如果開(kāi)啟了selinux，請(qǐng)安裝libselinux-python

六、更新代碼
cd /opt/jumpserver
git pull

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章：讓運(yùn)維不再背鍋的利器jumpserver堡壘機(jī)-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://www.muchs.cn/article26/dpgijg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、商城網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司、云服務(wù)器、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)