因公司生产环境和测试环境都是可以在本地直连,缺乏审计管控,所以领导最近要求是搭建一个堡垒机平台,第一阶段是打算先用开源的堡垒机,所以下面主要介绍下开源的堡垒机。
01Jumpserver
GitHub: https://github.com/jumpserver/jumpserver
Jumpserver 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。
Jumpserver 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
Jumpserver 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
Jumpserver 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。
02Teleport
GitHub: https://github.com/eomsoft/teleport
Teleport是触维软件推出的一款简单易用的堡垒机系统,具有小巧、易用、易于集成的特点,支持RDP和SSH协议的跳转。
Teleport由两大部分构成:
- 跳板核心服务
- WEB操作界面
Teleport非常小巧且极易安装部署:仅需一分钟,就可以安装部署一套您自己的堡垒机系统!!
因为Teleport内建了所需的脚本引擎、WEB服务等模块,因此不需要额外安装其他的库或者模块,整个系统的安装与部署非常方便。
具有以下特点:
- 极易部署
- 简洁设计,小巧灵活,无额外依赖,确保您可以在5分钟内完成安装部署,开始使用。
- 安全增强
- 配置远程主机为仅被您的teleport服务器连接,可有效降低嗅探、扫描、暴力破解等攻击风险。
- 单点登录
- 只需登录您的teleport服务器,即可一键连接您的任意远程主机,无需记忆每台远程主机的密码了。
- 按需授权
- 可以随时授权指定运维人员访问指定的远程主机,也可随时回收授权。仅仅需要几次点击!
- 运维审计
- 对远程主机的操作均有详细记录,支持操作记录录像、回放,审计工作无负担。
03GateOne
GitHub: https://github.com/liftoff/GateOne
GateOne是一款基于HTML5的开源终端模拟器/SSH客户端,同时内置强大的插件功能。它自带的插件使其成为一款令人惊艳的SSH客户端,但是,它可以用于运行任何终端应用。用户可以将GateOne嵌入其他应用程序从而提供各类终端访问界面,它也支持各类基于Web的管理界面
04CrazyEye
CrazyEye是基于Python开发的一款简单易用的IT审计堡垒机,通过对原生ssh代码进行了部分修改,从而实现用户在登录堡垒机后,他所有的命令操作都将被实时抓取并写入审计日志,以供后期审计,目前CrazyEye主要实现了以下功能:
- 用户行为审计
- 底层使用原生ssh,不牺牲ssh使用体验,对用户操作无任何影响
- 支持对主机进行分组管理
- 可为运维人员分配指定服务器、指定账号的操作权限,即一个用户可以登录多少生产服务器,以及登录后有什么权限,都可以自如的控制
- 用户登录堡垒后的所有操作均可被记录下来以供日后审计.
- 主机批量操作
开源的还是比较推荐jumpserver,不过像数据库一些常用工具都没集成上来,而且上传下载功能有点不友好,还是得二次开发。后面会分享关于jumpserver具体搭建过程,感兴趣的朋友可以关注下!
