堡垒机(安全运维,产品简述)
目录跳板机与堡垒机
跳板机(Jump Server)
堡垒机(Bastion Host)
区别
堡垒机
功能
工作原理
类型
安全运维中的作用
jumpserver 简述
应用场景
技能特点
核心功能
主要组件
根本架构
应用架构
逻辑架构
上风
安转摆设及使用
单机摆设示例简单介绍
准备安装环境
配置 IP 地址
安装 JumpServer 堡垒机
使用简述
用户管理
资产管理
权限管理
会话管理
日志审计
文件管理
WEB 终端
系统设置
https://i-blog.csdnimg.cn/blog_migrate/f6600462c5e587a077d33d95e9b56f3c.png
跳板机与堡垒机
跳板机(Jump Server)
跳板机是一种安全中转节点,主要用于提供长途访问企业内部网络的通道。用户(公司长途办公员工、IT长途协助等)需要访问企业内部网络就必须通过跳板机,跳板机可以限制用户的访问内部网络的权限,并纪录用户的操作行为,并提供多层身份验证等安全步伐,防止非法用户的访问。跳板机可以将外部网络的流量转发到内部网络中,从而实现对内部网络的访问。它通过这种方式,为内部网络提供了一个额外的安全层,并且可以对内部网络的安全进行管理,例如限制某些应用步伐的使用、限制访问某些网站等。
堡垒机(Bastion Host)
堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全水平较低的外部网络之间的访问。堡垒机的主要功能包罗身份验证、网络流量过滤、应用步伐控制、日志纪录和审计以及配置管理。它通常摆设在内部网络和外部网络的边缘,通过控制用户对内部网络的访问,从而保障企业内部网络的安全。堡垒机可以限制用户的访问权限、纪录用户的操作日志,并可以提供多层身份验证等安全步伐,以防止非法用户入侵。
区别
跳板机更多地被用作长途访问的中转站,它允许用户通过它来访问内部网络中的其他服务器,但是它本身并不提供对内部网络的保护。而堡垒机则是用来保护内部网络,它通过严酷控制访问权限和监控网络流量来防止未授权的访问和潜在的安全威胁。堡垒机通常被视为网络的“看门人”,它直接面对外部威胁,保护内部网络不受陵犯。
总结来说,跳板机和堡垒机都是网络安全的紧张工具,它们通过不同的方式来确保网络环境的安全和数据的完整性。跳板机侧重于提供安全的长途访问通道,而堡垒机则侧重于保护内部网络免受外部威胁的陵犯。
堡垒机
功能
[*] 身份验证:堡垒机对访问内部网络的用户进行身份验证,确保只有授权用户才能访问。
[*] 网络流量过滤:它过滤网络流量,防止恶意流量和未经授权的访问。
[*] 应用步伐控制:堡垒机管理对网络和服务器资源的访问,控制应用步伐的使用。
[*] 日志纪录和审计:它纪录全部通过其进行的操作,为过后审计提供详细日志。
[*] 配置管理:堡垒机还可以对网络和应用步伐进行配置管理,以确保内部网络的安全性和可靠性。
工作原理
堡垒机作为运维职员与目标服务器之间的中介,通过协议代理的方式担当终端盘算机对网络和服务器的访问。运维职员的操作哀求首先发送到堡垒机,然后由堡垒机代理执行这些操作。这样,全部的操作都会被纪录下来,包罗屏幕录像和字符操作日志,以便在需要时进行审计。
类型
[*] 网关型堡垒机:摆设在外部网络和内部网络之间,作为进入内部网络的检查点,提供安全访问控制。
[*] 运维审计型堡垒机:摆设在内网中,对运维职员的操作权限进行控制和审计,解决了权限控制和行为审计题目。
安全运维中的作用
在安全运维中,堡垒机提供了一个会合的平台来管理运维权限,全程管控操作行为,并及时还原运维场景。它保障了运维行为的身份可辨别性、权限可管控性和操作可审计性,解决了资产多难管理、运维职责权限不清楚以及运维变乱难追溯等题目。别的,堡垒机还支持多云和混淆云环境下的资产统一管理,提供了全球化摆设的能力,以及对特权访问行为的管控和智能运维风控与审计。
通过上述表明,我们可以看到堡垒机在网络安全中饰演着至关紧张的角色,它不仅保护了内部网络资源免受攻击,还为运维操作提供了全面的审计和控制手段。
jumpserver 简述
JumpServer 是一款由 FIT2CLOUD(飞致远)公司开辟的开源堡垒机,它代表了全球首款采用开源模式的堡垒机产品。JumpServer 基于 GNU GPL v2.0 开源协议发布,符合 4A(认证Authentication、授权Authorization、审计Accounting、审批Approval)规范,提供了专业的运维审计解决方案。
https://i-blog.csdnimg.cn/blog_migrate/640d81f099f35b962504c1613d9dd057.png
JumpServer 作为一款专业的运维安全审计系统,实现了一系列的功能,以满意企业在运维管理、安全控制和合规性方面的需求。以下是 JumpServer 实现的主要功能及其寄义:
[*] 用户组、用户:
[*] 用户组是为了简化授权流程而设计的,通过将用户分组,可以方便地对一组用户进行统一的权限管理。用户是系统的登录主体,可以进行长途操作和资产管理。用户可以参加不同的用户组,实现批量管理和细粒度的权限控制。
[*] 资产组、资产、IDC:
[*] 资产指的是需要被管理的服务器或网络设备。JumpServer 允许用户对资产进行详细的信息纪录和自界说备注,同时支持自动获取和更新主机的硬件信息。资产组则是对资产进行分类管理的一种方式,可以对资产组内的全部资产执行统一的操作。IDC(Internet Data Center)指的是互联网数据中心,JumpServer 支持对分布在不同数据中心的资产进行管理。
[*] sudo、系统用户、授权规则:
[*] sudo 是一种在 Unix 和类 Unix 系统中用来授予用户执行特定命令的权限的机制。JumpServer 支持对 sudo 权限的管理和审计。系统用户是指在操作系统中有登录权限的用户,JumpServer 允许将这些系统用户与 JumpServer 用户关联起来,实现身份映射。授权规则是界说用户、资产和系统用户之间权限关系的策略,确保用户只能执行被允许的操作。
[*] 在线历史、登录历史、命令纪录、上传下载纪录:
[*] JumpServer 提供了全面的审计功能,可以及时监控用户的在线状态和操作历史。登录历史纪录了用户的登录时间和方式,命令纪录详细纪录了用户执行的每一个命令。上传下载纪录则追踪了用户通过 rz 和 sz 命令进行的文件传输活动,确保数据传输的安全性和可追溯性。
[*] 上传、下载:
[*] JumpServer 支持通过标准的 rz 和 sz 命令进行文件的上传和下载操作。这为用户提供了一种简单、安全的方式来传输文件,同时全部的文件传输活动都会被系统纪录和审计。
[*] 默认设置:
[*] JumpServer 提供了默认的管理用户设置,包罗用户密码和密钥管理。这些默认信息旨在简化资产的添加和管理流程,使得用户可以快速地将新的资产纳入 JumpServer 的管理范围。
应用场景
JumpServer 适用于各种规模的企业和组织,尤其是那些对运维操作安全性和审计要求较高的环境。无论是金融、电信、政府还是其他行业的企业,JumpServer 都能提供稳固、高效、安全的运维审计解决方案。
技能特点
[*] 开辟语言与框架:JumpServer 使用 Python 和 Django 框架进行开辟,这使得它具有强大的开辟能力和灵活性。Python 作为一种广泛使用的高级编程语言,以其简洁的语法和强大的库支持,为 JumpServer 的开辟和后续维护提供了便利。
[*] Web 2.0 规范:JumpServer 遵循 Web 2.0 规范,这意味着它具有精良的用户交互性和高度的可扩展性。用户可以通过标准的 Web 浏览器访问 JumpServer,享受现代化的 Web 应用体验。
[*] Web Terminal 方案:JumpServer 配备了业界领先的 Web Terminal 解决方案,允许用户直接在浏览器中进行长途终端操作,无需安装额外的客户端软件。这大大进步了用户的工作服从和体验。
[*] 分布式架构:JumpServer 采用分布式架构设计,支持多机房跨区域摆设。中心节点提供 API 接口,各机房可以摆设登录节点,实现横向扩展,无资产数目及并发访问的限制。
核心功能
[*] 协议转发节点:JumpServer 作为终端盘算机和服务器资产之间的中心协议转发节点,对全部目标资产的哀求进行转发。它可以拦截非法访问,阻断不合规的危险命令,并对内部职员的全部操作进行审计监控。
[*] 安全审计:JumpServer 的核心功能之一是安全审计。它能够纪录和监控全部通过该系统进行的操作,为过后审计提供详实的数据支持。这有助于企业及时发现和响应潜在的安全威胁,同时也为合规性检查提供了依据。
[*] 多协议支持:JumpServer 支持管理多种常见的长途访问协议,包罗 SSH、Telnet、RDP 和 VNC,这使得它可以广泛应用于不同的网络环境和系统平台。
主要组件
https://i-blog.csdnimg.cn/blog_migrate/acd5b12b7cf5f30c71d6ce8f480c5626.png
JumpServer 作为一款全面的开源堡垒机,其架构设计包罗了多个关键组件,每个组件都有其独特的功能和作用,共同构成了整个系统的完整解决方案。
[*] Jumpserver:
[*] 这是 JumpServer 堡垒机的核心组件,提供了一个管理后台界面,允许管理员通过 Web 页面进行各种管理和配置操作。
[*] 在 Jumpserver 中,管理员可以管理资产信息,包罗添加、修改、删除服务器和网络设备等。
[*] 用户管理功能允许管理员创建和管理用户账户,分配用户角色和权限,以及对用户进行组管理。
[*] 资产授权功能使得管理员可以根据策略对用户进行资产访问授权,确保只有授权用户才能访问特定的资产。
[*] 别的,Jumpserver 还负责处理用户会话管理、审计日志纪录等关键任务,确保全部的操作都有迹可循。
[*] Koko:
[*] Koko 是 JumpServer 中负责提供 SSH 服务的组件,它允许用户通过 SSH 协议安全地连接到资产。
[*] 除了 SSH 服务,Koko 还提供了 Web Terminal 服务,用户可以通过 Web 浏览器直接访问资产的命令行界面,无需额外的客户端软件。
[*] Koko 通过接收来自 Jumpserver 的指令,代理用户与资产之间的连接,确保全部的长途访问都是经过认证和授权的。
[*] Lina:
[*] Lina 是 JumpServer 的前端组件,提供了用户与系统交互的 Web 界面。
[*] 通过 Lina,用户可以登录到 JumpServer,执行各种操作,如资产访问、文件传输、会话管理等。
[*] Lina 设计上留意用户体验,提供了直观、易用的界面,使得用户可以轻松地完成复杂的操作。
[*] Luna:
[*] Luna 是 JumpServer 中负责提供 Web 前端页面的组件,它与 Lina 协同工作,提供用户友好的界面。
[*] Luna 的设计旨在进步用户的工作服从,通过清楚的布局和直观的操作流程,使用户能够快速找到所需功能。
[*] 未来,Luna 可能会与 Lina 合并,以简化架构和进步性能。
[*] Guacamole:
[*] Guacamole 是 JumpServer 用于提供 RDP 功能组件,允许用户通过 RDP 协议长途访问 Windows 资产。
[*] 通过 Guacamole,用户可以在 Web 浏览器中直接访问 Windows 桌面环境,无需安装额外的长途桌面客户端。
[*] 这种方式特别得当于需要长途管理 Windows 服务器的场景,同时也支持通过 Web Terminal 访问其他类型的资产。
这些组件共同构成了 JumpServer 堡垒机的强大功能,提供了一个全面的解决方案,以满意企业在运维管理和安全审计方面的需求。通过这些组件的精密合作,JumpServer 能够为用户提供一个安全、高效、易于管理的长途访问环境。
根本架构
https://i-blog.csdnimg.cn/blog_migrate/49abc92631fd155934ee0e4223debc68.png
JumpServer 的根本架构设计采用了分层架构,以确保系统的高可用性、可扩展性和安全性。
应用架构
[*] 负载层:
[*] 负责系统的流量分发和负载平衡,确保用户哀求可以匀称地分配到不同的服务器上,进步系统的处理能力和可用性。
[*] 接入层:
[*] 作为用户访问的第一入口,处理用户的连接哀求,进行开端的安全检查和用户认证,确保只有合法用户可以进入系统。
[*] 核心层:
[*] 包罗 JumpServer 的核心组件,是整个系统运行的中心。核心组件负责处剖析话管理、权限控制、资产连接等关键任务。
[*] 数据层:
[*] 存储系统的全部数据,包罗用户信息、资产信息、会话纪录等。数据层的设计需要保证数据的安全性和可靠性。
[*] 存储层:
[*] 负责存储系统产生的各种日志和录像文件。存储层通常采用高性能、大容量的存储设备,以满意大量数据的存储需求。
逻辑架构
JumpServer 的逻辑架构设计考虑了系统的分布式特性,支持多机房跨区域摆设。中心节点提供 API 接口,各机房摆设登录节点,可以实现横向扩展,无资产数目及并发访问限制。
上风
[*] 开源:
[*] JumpServer 基于开源许可协议,用户可以零门槛获取源代码和安装包。这意味着用户可以免费使用 JumpServer,同时也能够根据需要对源代码进行修改和定制,以顺应特定的业务需求。开源的特性也促进了社区的生动,使得 JumpServer 能够快速迭代和持续改进。
[*] 分布式:
[*] JumpServer 支持分布式架构,能够轻松应对大规模并发访问的挑战。这种架构允许系统在多个服务器上运行,通过负载平衡和故障转移机制,确保服务的高可用性和稳固性。这对于需要处理大量用户哀求和资产管理的大型企业或服务提供商来说尤为紧张。
[*] 无插件:
[*] JumpServer 提供了极致的 Web Terminal 使用体验,用户无需安装任何插件即可通过浏览器直接访问资产。这种无插件的设计简化了用户的使用流程,低落了安全风险,并进步了跨平台兼容性,使得用户可以在任何设备上通过 Web 浏览器安全地进行长途操作。
[*] 多云支持:
[*] 在多云环境中,JumpServer 能够统一管理分布在不同云平台上的资产。这种跨云管理能力使得企业可以在多个云服务提供商之间灵活地迁移和扩展资源,同时保持一致的安全管理策略和操作体验。
[*] 云端存储:
[*] JumpServer 支持将审计录像存储在云端,确保数据的持久性和可靠性。这种云端存储解决方案不仅避免了本地存储的范围性,还提供了易于扩展的存储容量,保障了审计数据的完整性和可追溯性。
[*] 多租户:
[*] JumpServer 支持多租户架构,允许多个子公司或部分共享同一套系统资源。这种架构使得每个租户都可以拥有独立的管理空间和权限设置,同时淘汰了资源冗余和重复投资。这对于大型组织和云服务提供商来说,是一种高效的资产管理和本钱控制策略。
安转摆设及使用
在 JumpServer 官网上提供了多种摆设方式,以顺应不同用户的需求和环境。以下是这些摆设方式的简要介绍:
[*] 一键摆设:
[*] 这是一种非常快捷和轻便的摆设方式,用户可以通过官网提供的自动化脚原来完成 JumpServer 的安装和配置。这种方式得当对 JumpServer 有一定相识,并且希望快速摆设的用户。但是,由于自动化脚本可能无法覆盖全部定制化需求,因此这种方式可能存在一些限制。
[*] 手动摆设:
[*] 手动摆设方式需要用户对 JumpServer 的安装和配置过程有更深入的相识。用户需要按照官方文档中的步调,逐一完成环境准备、依赖安装、系统配置等操作。这种方式得当有一定系统管理履历的用户,可以更灵活地根据实际需求进行配置。
[*] 离线摆设 (amd64):
[*] 离线摆设方式适用于无法直接连接到互联网环境的用户。用户需要下载官网提供的离线安装包,然后在本地环境中进行安装和配置。这种方式对于受限制的网络环境非常有效,但需要用户对摆设过程有一定的相识。
[*] 离线摆设 (arm64):
[*] 雷同于 amd64 的离线摆设,这种方式也是为无法连接互联网的环境设计的。用户需要下载适用于 arm64 架构的离线安装包,并在相应的硬件平台上进行安装和配置。
[*] 源码摆设:
[*] 源码摆设是全部摆设方式中难度较高的一种。用户需要从官网下载 JumpServer 的源代码,然后根据系统架构和需求进行编译和配置。这种方式得当对 JumpServer 有深入相识,并且需要进行高度定制化的用户。
[*] 容器摆设:
[*] 容器化摆设需要用户对 Kubernetes (K8s) 有一定的认识度。通过 Docker 和 Kubernetes,用户可以在容器环境中摆设和管理 JumpServer。这种方式提供了更高的灵活性和可扩展性,得当现代化的 DevOps 环境。
选择哪种摆设方式取决于用户的技能配景、具体需求以及可用资源。对于初学者来说,一键摆设可能是最方便的选择。而对于希望深入学习 JumpServer 并进行定制化摆设的用户,手动摆设或源码摆设可能更加符合。容器摆设则得当那些已经在使用 Kubernetes 进行容器化管理的用户。每种摆设方式都有其独特的上风和适用场景,用户可以根据自己的实际情况进行选择。
单机摆设示例简单介绍
准备安装环境
首先,需要准备一个安装环境,这可以是一台裸物理服务器或者虚拟化平台上的一台虚拟机。需要在这台机器上安装 CentOS 7 操作系统。可以从 CentOS Vault Mirror 网站下载 CentOS 7 的镜像文件:Index of /。
配置 IP 地址
在安装操作系统后,需要配置网络。以下是配置网络的步调:
[*] 检察网卡名字:使用 ip addr 或 ifconfig 命令检察可用的网络接口。
[*] 配置网卡 IP 地址:以 ens33 网卡为例,编辑 /etc/sysconfig/network-scripts/ifcfg-ens33 文件。
[*] 进入编辑模式:使用 vi 编辑器打开配置文件。
[*] 设置 BOOTPROTO 为 static 以使用静态 IP 地址。
[*] 设置 ONBOOT 为 yes 以确保开机时网卡激活。
[*] 填写 IPADDR(IP 地址)、NETMASK(子网掩码)、GATEWAY(网关)和 DNS1、DNS2(DNS 服务器地址)。
[*] 生存并退出编辑模式:按 Esc 键退出编辑模式,然后输入 :wq 生存更改并退出。
[*] 重启网卡:使用 systemctl restart network 或 service network restart 命令重启网络服务。
安装 JumpServer 堡垒机
接下来,可以开始安装 JumpServer 堡垒机:
[*] 从 JumpServer 官网:JumpServer - 开源堡垒机 - 官网下载离线安装包,并上传到 Linux 服务器的 /opt 目录。可以使用 FileZilla 等 FTP 客户端软件来上传文件。
[*] 在 /opt 目录下解压安装包:使用 tar 命令解压下载的安装包。
[*] 进入解压后的安装包文件夹,并执行安装步伐 ./jmsctl.sh install。
[*] 启动 JumpServer 服务 ./jmsctl.sh start。
[*] 使用默认的 Web 界面地址和账号密码登录 JumpServer。初次登录时,系统会提示更改初始密码。
至此 jump server 堡垒机的搭建就完成了
使用简述
官 方 文 档:JumpServer 文档
用户管理
https://i-blog.csdnimg.cn/blog_migrate/6a11e654cf9778ecd28fadedae179e86.png
[*]用户列表:在此功能下,管理员可以创建新的用户账号,管理用户的基本信息,并设置多因子认证(MFA)选项。MFA 进步了账户的安全性,要求用户在登录时提供额外的验证信息。
资产管理
https://i-blog.csdnimg.cn/blog_migrate/67bb920255ef92d4bd78dc0cff1235d5.png
[*] 资产列表:管理员可以添加和管理需要被堡垒机管理的资产,如服务器、交换机、PC 等。在添加资产时,需要确保资产的长途服务已经配置好。
[*] 网域列表:此功能允许管理员创建网域和网关服务器,以便在网络隔离的环境中实现资产的长途管理。
[*] 系统用户:在此功能下,管理员可以为每个资产创建登录用户,并设置认证方式,如托管密码或手动输入。
权限管理
[*]资产授权:管理员可以将特定的资产授权给用户,使用户能够访问和管理这些资产。
会话管理
[*]会话管理:管理员可以检察当前在线的会话和历史会话,对会话进行监控、停止和审计。
日志审计
[*] 登录日志:纪录用户的登录信息,帮助管理员追踪用户的登录行为。
[*] FTP 日志:纪录用户通过 FTP 传输的文件信息。
[*] 操作日志:纪录平台用户的操作历史。
文件管理
[*]文件管理:JumpServer 提供了文件管理功能,允许用户通过 Web 界面管理资产上的文件。
WEB 终端
[*]WEB 终端:用户可以使用 WEB 终端功能连接支持 SSH/Telnet 协议的资产,并享受自界说主题的终端体验。
系统设置
[*] 基本设置:管理员可以设置 JumpServer 的访问 URL 等基本信息。
[*] 邮件设置:配置邮件服务器信息,以便 JumpServer 可以发送邮件通知。
[*] 认证设置:配置认证方式,如微信认证、钉钉认证等。
[*] 安全设置:设置安全相关的选项,如密码策略、会话超时等。
[*] 定期整理:设置定期整理任务,以维护系统的性能和安全。
[*] 更改端口:管理员可以根据需要更改 WEB 和命令行的端口设置。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]