备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

利用假期用Py开发了个开源堡垒机CrazyEye

2017-11-12 1844
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

  本文来自“老男孩linux实战培训”的Alexander老师,看了此文,觉的此软件仅仅是个测试版都这样NB,这要是到正式版的不得更强大,特转发此文以示祝贺Alexander老师!

  此文链接:http://3060674.blog.51cto.com/3050674/1700814

  假期姑娘们都不在身边,又不想到处去看人海,所以呆在家里开发了个堡垒机,现已开源,欢迎大家试用,在使用前,容我先跟大家介绍下堡垒机的重要性!


 

   到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的功能属性中的其中一项而已,下面我就给大家介绍一下堡垒机的重要性,以帮助大家参考自己公司的业务是否需要部署堡垒机。

 

堡垒机有以下两个至关重要的功能:

 

权限管理

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

  1. 设想你们公司有300Linux服务器,A开发人员需要登录其中5WEB服务器查看日志或进行问题追踪等事务,同时对另外10hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5web服务器,并且同时允许他以管理员的身份登录另外10hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限

  2. 目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

 

其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。

 


 

在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

  1. 允许A开发人员通过普通用户登录5web服务器,通过root权限登录10hadoop服务器,但对其余的服务器无任务访问权限

  2. 多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

 

 

 

审计管理

审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。

 

 

 

 

前面说了这么多,接下来就给大家推荐几个堡垒机软件,各位可根据自己的业务需求进行选择

 

奇智堡垒机

国内最早做堡垒机的,商业产品,功能强大,支持对WindowsLinux设备的审计,当然价格也不便宜,据我了解,应该是一套产品20万左右。

 

JumpServer

去年刚推出的一款开源的堡垒机软件,支持Linux主机操作审计,不支持Windows

 

CrazyEye

 

我自己刚开发的一款堡垒机+主机管理软件,支持Linux主机操作审计,不支持Windows,跟上面两款的一个区别是,CrazyEye同时支持对主机进行批量命令、文件分发操作,后期还会加入计划任务管理,敬请期待。

软件git地址:https://github.com/triaquae/CrazyEye.git

 

软件截图:

 

 


wKioL1YV8srR9ZgXAACEi6Efp6k525.jpg

wKiom1YV8rnzEqFXAAJq74FUw98009.jpg

wKiom1YV8r2TL5gsAAIivCwZ0xI960.jpg

wKioL1YV8trA8pvBAALglKrrmuA847.jpg

wKioL1YV8uPhweQKAARjwWOxGuE734.jpg

wKiom1YV8tTAGjv2AAMRB8cOsBc312.jpg

wKiom1YV8t3x81rYAANjBn9eCPE069.jpg

wKioL1YV8v2yKy0nAASEdpNXsyg711.jpg

wKiom1YV8vCyNDUxAANKzt0nsOY571.jpg

wKioL1YV8xOjLzQEAAOPq_cfA9k431.jpg

wKiom1YV8wWQCSLZAAOL65iZ0d0855.jpg

wKioL1YV8ySwk_GPAANYF9I6t2s065.jpg

wKioL1YV8yvQZYAoAANNOFoCdRY239.jpg



本文转自 linuxzkq 51CTO博客,原文链接:http://blog.51cto.com/linuxzkq/1700829

文章标签:
Linux
运维
Windows
数据安全/隐私保护
Python
开发工具
分布式计算
Hadoop
git
安全
关键词:
堡垒机开源
堡垒机开发
科技小能手
目录
相关文章
是Nero哦
|
3月前
|
运维 安全 Linux
开源堡垒机JumpServer本地安装并配置公网访问地址
开源堡垒机JumpServer本地安装并配置公网访问地址
是Nero哦
115 0
非著名运维
|
6月前
|
运维 关系型数据库 MySQL
企业实战(18)两步搞定轻量级开源堡垒机Teleport服务的数据备份与升级(3)
企业实战(18)两步搞定轻量级开源堡垒机Teleport服务的数据备份与升级(3)
非著名运维
54 0
非著名运维
|
6月前
|
运维 安全 Linux
企业实战(18)超简单实现轻量级开源堡垒机Teleport管理Linux/Windows主机(2)
企业实战(18)超简单实现轻量级开源堡垒机Teleport管理Linux/Windows主机(2)
非著名运维
62 0
非著名运维
|
6月前
|
运维 前端开发 安全
企业实战(18)一文搞懂轻量级开源堡垒机Teleport的部署(1)
企业实战(18)一文搞懂轻量级开源堡垒机Teleport的部署(1)
非著名运维
162 0
企业实战(18)一文搞懂轻量级开源堡垒机Teleport的部署(1)
yuanfan_2012
|
运维 前端开发 Linux
CentOS7下部署JumpServer开源堡垒机
CentOS7下部署JumpServer开源堡垒机
yuanfan_2012
325 0
CentOS7下部署JumpServer开源堡垒机
技术小阿哥
|
监控 关系型数据库 Linux
利用Python Paramiko开发linux堡垒机
技术小阿哥
1309 0
技术小美
|
网络安全 数据安全/隐私保护 Python
Python自动化开发学习13-堡垒机开发
技术小美
1708 0
玄学酱
|
运维 分布式计算 Hadoop
CrazyEye,一款国人开源的堡垒机软件
玄学酱
3343 0
linziyuan
|
运维 网络安全 数据安全/隐私保护
麒麟开源堡垒机安装部署测试及优缺点总结
近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET、SSH、FTP、SFTP已
linziyuan
9782 0
cnbird
|
Linux Unix
开源堡垒机参考
http://0xcc.net/ttyrec/index.html.en 这是一个与 script 有着异曲同工之妙的小工具。
cnbird
991 0

热门文章

最新文章

  • 1
    如何在Linux部署JumpServer堡垒机并实现远程访问本地服务
  • 2
    麒麟开源堡垒机安装部署测试及优缺点总结
  • 3
    让运维不再背锅的利器jumpserver堡垒机
  • 4
    CrazyEye,一款国人开源的堡垒机软件
  • 5
    阿里云堡垒机V3版重磅发布,和运维失误say no!
  • 6
    基于Docker搭建Jumpserver堡垒机操作实践
  • 7
    堡垒机的功能之解决账号密码管理不规范问题
  • 8
    开源堡垒机参考
  • 9
    【JumpServer-初识篇】一键搭建JumpServer堡垒机、对接server服务器,只需要25分钟
  • 10
    JumpServer 堡垒机
  • 1
    如何在Linux部署JumpServer堡垒机并实现远程访问本地服务
    65
  • 2
    【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
    71
  • 3
    调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
    83
  • 4
    堡垒机是什么:如何帮助企业提高网络安全防护
    84
  • 5
    开源堡垒机JumpServer本地安装并配置公网访问地址
    115
  • 6
    Linux JumpServer 堡垒机远程访问
    60
  • 7
    "堡垒机,安全运维的坚实屏障💪"
    35
  • 8
    堡垒机轻量版在网页运维时提示连接中断
    77
  • 9
    企业实战(18)两步搞定轻量级开源堡垒机Teleport服务的数据备份与升级(3)
    54
  • 10
    企业实战(18)超简单实现轻量级开源堡垒机Teleport管理Linux/Windows主机(2)
    62

    • 相关课程

    更多
  • 云上建站快速入门-博客、论坛、CMS、电子商务网站统统搞定
  • 数据库仓库升级交付实践指引
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 阿里云数据中心IT初级运维工程师认证培训课程
  • 面向运维的 python 脚本速成-1024程序员节创造营公益课
  • 云数据库MySQL版快速上手教程

    • 相关电子书

    更多
  • 固守服务器的第一道防线——美联集团堡垒机的前世今生
  • AutoTalk第七期:自动化工具-OpenAPI在线调试
  • DataWorks商业化资源组省钱秘籍-2020飞天大数据平台实战应用第一季

    • 相关实验场景

    更多
  • 使用阿里云ECS搭建WIKI知识库
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • 搭建IoT小程序开发环境,创建一个应用
  • 借助OSS搭建在线教育视频课程分享网站
  • 星轨-钉钉APP分发实训
  • EMAS Serverless搭建《私人云相册》小程序
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)