堡垒机如何使用
堡垒机在安全运维中的主要功能是,通过堡垒机进行事前资源授权,事中录像监控,事后指令审计,来保障自身数据安全,那么我们要如何使用堡垒机?
从安全运维的角度来看,资源授权满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,所以团队成员在登录主机前、后,都处于行云管家堡垒机安全监管之下。在行云管家中,把这些安全性更高的主机叫做关键设备,展开菜单选择“安全审计/关键设备运维策略”,进入【相应的策略】功能设置。
关键配置
审计录像: 访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;
会话水印:行云管家堡垒机会话水印功能,是将访问该服务器的运维人员的账号等信息,以半透明水印的方式印在服务器远程桌面会话窗口上,当远程桌面会话窗口被录像、截屏、拍照,运维人员的信息也会被一并记录,方便事后回溯追责。
双因子认证:也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;
指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在操作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。
指令审计角色:敏感指令如果触发的是审核操作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行; 指令审核超时时长:敏感指令触发审核操作时,如果在超时时长内未处理,指令将因超时被取消执行。
堡垒机的资源授权是什么?
堡垒机设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全
在windows环境下通过帐号密码SSH登录堡垒机,之后telnet到网络设备,通过命令交互对设备
1. 什么是SSH
SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。SSH是每一台Linux电脑的标准配置,但是在windows系统中默认是没有安装SSH的,需要安装SSH相关服务端软件,比如FreeSSHD。
2. SSH可以用来做什么
SSH可以用于远程登录主机,登录方式通常有两种:口令登录和公钥登录
一:口令登录:通过在服务端设定的用户名和密码进行登录,每次都登录都需要填写密码
二:公钥登录:通过一对公钥和私钥登录,公钥存放在服务端私钥存放在客户端,在登录时服务端向客户端发生一个随机字符串,然后客户端通过私钥先进行加密然后发生到服务端,在服务端接受和用公钥进行解密,然后匹配是否正确解密来验证登录,注意:存在在服务端的公钥名称和用户名一致,已区分不同用户不同的公钥;这样每次就可以直接用公钥登录省去了密码的繁琐。
SSH可以用户服务端和客户端之间双向文件传输
3. SharpSSH与SSH服务端FreeSSHD
SharpSSH是一个用C#实现的SSH客户端组件,用户可以根据需要修改使用改组件已满足自己的需求,SharpSSH介绍和组件下载网站:http://sharpssh2.codeplex.com/,也可以在这里下载。
注意:在官网下载SharpSSH会因为主机为安装Mono而出现Mono.Security.dll的引用错误,只需要下载Mono.Security.dll重新引用即可。
我在Windows7 VS2012的环境下测试官网下载的SharpSSH项目升级成功,解决方案如下:
其中有两个项目:Examples,SharpSSH顾名思义,Examples是使用示例,SharpSSH就是真正的实现项目,设置Examples为启动项,运行效果如下:
可以看到,示例为我们提供了16个功能项,再次我们需要测试远程登录和文件传输,使用第13, 和16项测试即可,同时也会用到第5项生成公钥私钥对;
客户端SharpSSH已经实现了,接下来在Windows系统中就需要安装客户端了,这里选择FreeSSHD作为客户端,官网下载地址:http://www.freesshd.com/?ctt=download或这里:http://download.csdn.net/detail/dangercheng/6804861
下载下来直接下一步下一步安装,安装完成后运行会提示你是否生成Key选择是即可,同时会安装FreeSSHDService服务,选择关闭该服务;
此时可以看到支持telnet和SSH服务,且都关闭,到此步客户端服务端都已经准备就绪,下面就进行我们的登录测试和文件传输测试吧;
4. 远程登录执行命令
上面提过,登录有两种方式,口令登录和公钥登录,先介绍口令登录吧;
口令登录:即在服务端freeSSHd上创建一个用户名和密码,使用此密码口令登录
首先在freeSSHd上的Users选项中点击Add弹出添加用户界面,然后Login填写用户名,authorization选择Password stored as SHA1 hash 然后填写密码和重复密码,勾选该用户可用服务,如下图,创建了用户名和密码都是test:
然后我们选择SSH项,将Use new console engine项的勾选去掉已防止中午乱码,如图:
选择确定即可创建成功,然后回到主界面我们打开SSH服务
如上图所示即表示SSH服务已经成功开启;但是有可能会错误:常见原因是地址已使用,这是端口号22已经被使用造成的,关闭该端口的进程即可。
接下来我们运行我们的sharpSSH进行登录测试吧。
我们选择第13项,然后输入远程地址I(由于服务端就在本机所以是127.0.0.1),然后不选择公钥登录,然后输入密码,连接成功,执行date命令查询当前时间:
现在我们测试公钥登录:
公钥登录需要先生成公钥私钥对,我们选择第5项KeyGen来生成,命名为test(和用户名一致),Sig Type选择dsa, 然后Comment为空弹出窗口输入passphrase我们不输入直接选择ok,这样就在sharpSSH的bin\Debug目录下生成了我们的test的公钥私钥两个文件。如图:
生成了公钥test.pub和私钥test两个文件。然后将公钥文件test.pub放到freeSSHd指定的公钥文件夹目录:
也就是C:\Program Files\freeSSHd\这个目录下,并去掉后缀.pub,然后修改test用户的authorization选择Public Key如图:
接下来再测试:
5. 传输文件
首先我们修改服务端文件位置:
这样我们服务端的默认位置就是我们在freeSSHd下面自己添加的sftpFile的目录了,我们在里面放一个图片test.jpg,现在我们要将这个图片传到我们sharpSSH的目录页就是bin\Debug目录下并改名为testClient.jpg:
可以看见传输的速度还是很快的93k0秒完成,有兴趣的可以试试大文件的传输,到此关于SSH的登录和文件传输的测试完毕,当然SSH还有其他的很多很多的强大功能,这里不能一一列举测试,有兴趣自己取试试。
开源堡垒机真的完全免费吗?
并不是。一般中小企业没有技术支持,且出于成本考虑,往往会考虑使用市面上的免费堡垒机。免费堡垒机有两种:
1、开源堡垒机
大多开源堡垒机的功能相对简单,能够满足最最基本的企业的安全需求。但是在使用开源堡垒机的同时,企业必须要考虑后期运维成本。开源堡垒机需要专人进行维护和二次开发,而开发堡垒机这个人必须非常熟悉Linux、公司业务而且还要会Python,当然我们也可以选择开源堡垒机的商业支持服务,不过需支付高昂的技术支持服务费用,这种模式有点类似于打印机和硒鼓的套路,打印机价格非常便宜,但是打印机的售后维护服务和更换硒鼓的费用才是真正的成本所在。
2、免费的商用堡垒机
在商用堡垒机的各类厂商中,行云管家云堡垒机是业界首家支持Windows2012/2016指令审计全面支持云服务器/私有服务器/虚拟机等任意类型服务器的云堡垒机,免安装免维护,易于使用,无需安装任何Agent,并且行云管家堡垒机提供4台免费使用配额,只针对超过4台的主机数计费,对于小型创业公司、团队来说,4台主机免费配额已经能够满足企业的基本需要。
无论是开源堡垒机还是免费商用堡垒机,企业需要综合考量企业安全运维需求与各品牌堡垒机产品功能的契合度,选择最适合的那一款堡垒机。
企业可以自己搭建堡垒机吗?如何搭建堡垒机?
可以的。
一、企业为什么要搭建堡垒机?
企业目前的运维操作流程类似一个“黑盒”,我们并不清楚当前运维人员或代维工程师正在进行哪些运维操作,在哪台设备上执行操作,操作是哪一位来执行,而企业搭建堡垒机的主要目的在于让远程运维操作管理实现按用户授权、事中录像监控、事后指令审计,保证企业数据安全。
二、企业如何搭建堡垒机?
下面以某开源堡垒机搭建为例:
1、准备 Python3 和 Python 虚拟环境
①安装依赖包
②编译安装python3
③建立 Python 虚拟环境
2、安装堡垒机
①下载或 Clone 项目
②安装依赖 RPM 包
③安装 Python 库依赖
④安装 Redis
⑤创建数据库 堡垒机 并授权
⑥修改 堡垒机 配置文件
⑦生成数据库表结构和初始化数据
⑧运行堡垒机
3、安装 SSH Server 和 WebSocket Server: Coco
①下载或 Clone 项目
②安装依赖
③查看配置文件并运行
④测试连接
4、安装 Web Terminal 前端: Luna
5、配置 Nginx 整合各组件
对于中小企业来讲,虽然搭建开源堡垒机能够满足最最基本的企业的安全需求,但是开源堡垒机需要专人进行安装维护和二次开发,而开发堡垒机这个人必须非常熟悉Linux、公司业务而且还要会Python,这个专业的运维人员成本不亚于购买商用堡垒机。此外如果企业不想自己雇佣高成本的运维人员,也可以联系开源堡垒机厂商进行维护更新和二次开发,这部分费用也不亚于购买商用堡垒机。从这个角度讲,开源堡垒机并不等同于免费堡垒机,后期成本可能远远高于商用堡垒机,对开源堡垒机厂商还没有任何责任约束。
因此企业必须综合考量企业安全运维需求与企业实力,如果企业实力雄厚,可以让自己的开发团队独立自主的开发堡垒机,当然也可以购买价格高昂的硬件堡垒机。如果是创业企业或者中小企业,建议购买云堡垒机,行云管家云堡垒机是市面上首款也是唯一一款支持Windows2012/2016系统操作指令审计的堡垒机,SaaS版云堡垒机一年的费用比企业前台月薪还要低,私有部署版堡垒机终身使用版比一个运维工程师的年薪低。