堡垒机的基本功能:
多用户权限管理
限制登录用户所处的目录
限制登录用户有使用的命令
记录登录用户执行的命令
可以限制用户登录到堡垒机后只能使用ssh和passwd两个命令,根据实际情况进行限制。
ssh要远程到要实际登录的服务器上。
passwd修改自己用户的密码。
可以通过编写一些脚本来替换掉原来的ssh命令文件,达到一些自己想要的功能。
比如执行ssh命令需要一个密码才能执行;判断一下要登录的IP地址是否存在。
1、安装系统
安装一个最简系统纯文本系统,多余的东西都不要安装,后面需要什么再安装什么。
安装完,还可以禁用或删除各种不需要的服务、文件。
开防火墙
开SELinux
2、分配账号
根据不同的岗位创建不同用户组、不同的用户,每个人一个账号。
创建三个用户组:
admin:运维人员
dba:数据库人员
web:开发
#groupadd admin
#groupadd dba
#groupadd web
再把用户分别分配到三个用户组中:
#useradd admin1 -g admin
#useradd admin2 -g admin
#useradd admin2 -g admin
3、安装lshell工具
gif主页:https://github.com/ghantoos/lshell
如果堡垒机没有联网,可以从别的地方下载安装文件,再复制过来。
git clone https://github.com/ghantoos/lshell.git
cd lshell
python setup.py install –no-compile –install-scripts=/usr/bin/
如果没报错,即安装成功。
4、配置conf
配置好这个文件,就能达到很好的效果。
vim /etc/lshell.conf
|
1
2
3
4
5
6
7
8
|
[root] #开放root用户
allowed :
'all'
#允许执行所有命令
path : [
'/'
] #允许登录所有目录
[grp:dba] #设置一个组的权限
allowed :
'all'
- [
'su'
] - 表示排除,除了su不能执行,其它都可以
path : [
'/etc'
,
'/usr'
] - [
'/usr/local'
] #排除/usr/local不能进入
home_path :
'/home/oracle'
#用户登录后所在的目录
|
4、改变用户默认shell,使用lshell作为默认shell:
# cp /etc/lshell.conf /usr/local/etc/
# chsh -s /usr/bin/lshell user_name 这个命令只能修改某个用户的,可以写个脚本来批量修改
5、开启日志
为了记录用户日志,需要创建相关目录
# addgroup –system lshell
# mkdir /var/log/lshell
# chown :lshell /var/log/lshell
# chmod 770 /var/log/lshell
然后增加用户到lshell group:
# usermod -aG lshell user_name
/etc/lshell.conf配置详解:
四个小节:
[global] -> lshell的系统配置 (only 1)
[default] -> lshell的默认用户配置 (only 1)
[foo] -> 指定UNIX的系统用户”foo”的特别的配置
[grp:bar] -> 指定UNIX用户组”bar”的特别的配置
当加载参数的时候遵循以下顺序:
1- User configuration
2- Group configuration
3- Default configuration
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
|
[
global
]
#日志路径 (默认是/
var
/log/lshell/)
logpath
#日志记录级别
loglevel
0, 1, 2, 3
or
4 (0: no logs -> 4: logs everything)
#日志名字
logfilename
- 如果设置成syslog关键字,则表示日志记录到syslog中
- 如果设置成一个文件名, e.g. %u-%y%m%d (i.e foo-20091009.log):
%u -> username
%d -> day [1..31]
%m -> month [1..12]
%y -> year [00..99]
%h -> time [00:00..23:59]
#这个日志会记录登录、退出时间。要记录日志还需要做设置,后面有详细说明
syslogname
如果你打算记录进syslog中,则要设置你的syslog名称,默认是lshell
[
default
] 或者 [username] 或者 [grp:groupname] 三个小节可用的配置项
#命令别名
aliases
#一个允许执行的命令列表,或者设置成all,则允许在user PATH中的所有命令可用
allowed
#一个路径组成的列表,所有在路径中的可执行文件都被允许
allowed_cmd_path
#更新用户的环境变量PATH
env_path
#设置用户的环境变量
env_vars
#一个非法字符或者命令组成的列表
forbidden
#history的文件名
history_file
%u -> username (e.g.
'/home/%u/.lhistory'
)
#history文件记录的maximum size (in lines)
history_size
#登录后所处目录
home_path (deprecated)
默认是
$HOME
,不赞成使用,下一版会取消
%u -> username (e.g.
'/home/%u'
)
#在登陆时打印出入门信息
intro
#用户登陆时执行的脚本
login_script
#指定用户的密码 (
default
is
empty
)
passwd
#限制能访问的目录
path
严格限制用户可以去的地理位置,可以使用通配符list of path to restrict the user geographically. It is possible to
use
wildcards (e.g.
'/var/log/ap*'
).
#设置提示符
prompt
设置用户的prompt格式(
default
: username)
%u -> username
%h -> hostname
prompt_short
set sort prompt current directory update - set to 1
or
0 overssh list of command allowed to execute
#允许远程ssh直接执行的命令。默认是不能执行
over ssh (e.g. rsync, rdiff-backup, scp, etc.)
#允许或者禁止使用scp连接 - set to 1
or
0
scp
#强制文件通过scp传输到一个特定目录
scpforce
#设置成0,则禁止scp下载(
default
is 1)
scp_download
#设置成0,则禁止scp上传(
default
is 1)
scp_upload
#允许或者禁止使用sftp连接 - set to 1
or
0
sftp
#一组命令组成的列表,用户可以执行sudo
sudo_commands
会话维持的秒数
timer
strict
日志严格记录,如果设置成1,任何unknow的命令都被禁止,并且降低用户警告数,如果设置成0,unknow命令只是警告。 (i.e. *** unknown synthax)
#警告次数
warning_counter
如果用户达到该警告次数,则会被强制退出lshell,设置成-1,则禁止计数。
|
