开源堡垒机或者运维安全审计系统

最新推荐文章于 2024-03-11 09:12:40 发布
最新推荐文章于 2024-03-11 09:12:40 发布
阅读量1.7w 收藏 4
点赞数 1
分类专栏: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enweitech/article/details/51453907
版权


堡垒机有以下两个至关重要的功能:

权限管理

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

  1. 设想你们公司有300Linux服务器,A开发人员需要登录其中5WEB服务器查看日志或进行问题追踪等事务,同时对另外10hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5web服务器,并且同时允许他以管理员的身份登录另外10hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限

  2. 目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。


在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

  1. 允许A开发人员通过普通用户登录5web服务器,通过root权限登录10hadoop服务器,但对其余的服务器无任务访问权限

  2. 多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

审计管理

审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。


前面说了这么多,接下来就给大家推荐几个堡垒机软件,各位可根据自己的业务需求进行选择。

【开源堡垒机或者运维安全审计系统】

1.Jumpserver *
2.CrazyEye *
3.麒麟开源堡垒机 *
4.开源堡垒机GateOne
5.堡垒机xrdp: 
an open source RDP server http://www.xrdp.org/  https://github.com/neutrinolabs/xrdp
6.集中安全运维堡垒机  http://www.itosas.com/

附:大致的云堡垒机的功能:权限控制,集中管理,运维友好,脚本管理,实时操作审计。——一键云

*商业堡垒机与麒麟开源堡垒机功能比较列表-泡泡产品论坛 http://bbs.pcpop.com/thread-11042104-1-1.html
*云安宝-云匣子|云加密|云堡垒机|云平台运维审计|云安全 http://www.yunanbao.com.cn/ (推荐)
*安恒云堡垒机  https://market.aliyun.com/products/56844019/cmjj006239.html (推荐)
*奇智堡垒机——国内最早做堡垒机的,商业产品,功能强大,支持对Windows和Linux设备的审计,当然价格也不便宜,据我了解,
应该是一套产品20万左右。
*堡垒机软件——碉堡品牌|服务器网络运维操作管理审计系统|系统运维安全管理审计专家  http://www.baoleiji.com/
*GitHub - triaquae/CrazyEye: OpenSource IT Automation Software https://github.com/triaquae/CrazyEye
*齐智、江南科友的堡垒机的功能开发   
*运维安全审计堡垒机 * 昂楷科技堡垒机  *风信子运维安全审计系统 http://www.fultrust.com/products/baoleiji.htm

【附录参考】云堡垒机的市场前景和用户接受程度? http://www.zhihu.com/question/26776785

天府云创
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
企业运维管理-开源堡垒机
03-06
堡垒机使用注意事项: 1.重要服务器【安全性要求比较高】 使用堡垒机普通账号,远程后,再通过远程桌面管理重要服务器。 比如:域控制器服务器,OA服务器,ERP服务器。 2.不重要服务器 直接使用堡垒机,远程管理服务器,一般远程账号拥有本地管理员或者应用管理员权限。 3.如果第三方需要安装软件,请走审批后,安装在堡垒机这上面,不允许安装在应用服务器上。 4.明文通知【公司内部管理员,以及供应商】使用堡垒机远程服务器,全程有录制以及操作日志,避免有些用户意外将文件带出公司。 5.定期对堡垒机虚拟服务器进行备份,建议至少1次/1天。
综合日志审计平台
07-27
综合日志审计平台
简单易用的开源堡垒机系统
qq_24442273的博客
03-11 572
Teleport是一款简单易用的开源堡垒机系统,具有小巧、易用的特点,支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。Teleport由两大部分构成:跳板核心服务WEB操作界面Teleport非常小巧且极易安装部署:仅需一分钟,就可以安装部署一套您自己的堡垒机系统!!因为Teleport内建了所需的脚本引擎、WEB服务等模块,因此不需要额外安装其他的库或者模块,整个系统的安装与部署非常方便。
堡垒机(运维审计系统)的基本原理与部署方式
生而无畏,战至终章
06-15 2405
堡垒机(运维审计系统)的基本原理与部署方式
网络安全设备-认识运维安全管理与审计系统堡垒机
学而思(xiejava的blog)
05-11 6115
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
安全审计系统(堡垒机)
QuJJan的博客
01-18 896
系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能。
利用假期用Py开发了个开源堡垒机CrazyEye
weixin_34179968的博客
10-08 546
假期姑娘们都不在身边,又不想到处去看人海,所以呆在家里开发了个堡垒机,现已开源,欢迎大家试用,在使用前,容我先跟大家介绍下堡垒机的重要性!到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的功能属性中的其中一项而已,下面我就给大家介绍一下堡垒机的重要性,...
一个简单好用安全开源交互审计系统、轻量级堡垒机系统
欧菲丽的博客
09-21 711
Next Terminal 使用 Golang 开发,编译后只有一个二进制文件,并且可以使用内置的 sqlite 来存储文件,非常轻量,支持一行命令安装。Next Terminal是一个简单好用安全开源交互审计系统,支持RDP、SSH、VNC、Telnet、Kubernetes协议。Next Terminal是一个轻量级堡垒机系统,支持RDP、SSH、VNC、Telnet、Kubernetes协议。您可以在一套系统中访问RDP、SSH、VNC、TELNET等协议资产,无需插件,一个浏览器即可。
开源版本集成了监控功能的堡垒机
yangsunte的博客
03-11 184
FreeIPA:它是一款基于Linux的身份认证和授权系统,包括堡垒机、访问控制、密钥管理等功能。其中,堡垒机提供了审计和监控功能。SSServer:它是一款轻量级的堡垒机,提供了审计、监控、多层跳转、白名单等功能,支持SSH、RDP、Telnet等多种协议。Jumpserver:它是一款开源堡垒机解决方案,提供了多层跳转、审计、监控等功能,可以对多种协议进行代理和跳转。
2023年推荐几款开源免费的数据安全软件系统或平台
lindsxiaorunrun的博客
04-28 3392
首先,建议个人用户针对自己的网络安全进行一定程度的保护,为自己的网络安全设置复杂的密码,定期更改密码,使用安全软件进行防护,以及注意在网络上的行为,避免被他人利用等。主要功能模块:提供了web应用防火墙、进程防火墙、SSH安全审计等,还拥有AI监控流量、防文件篡改等功能模块,是市面上少有的集大成于一体,部署简单的数据安全系统软件。对于企业来讲,要求企业建立一套完善的数据安全体系,包括但不限于网络安全、数据加密、安全管理等,并实施有效的安全管理策略,严格把控企业的数据安全。多广域网(Multi-WAN)
开源运维平台
点点的博客
05-17 6257
一、openspug 介绍: 系统包含代码发布部署,主机管理,主机批量执行,环境管理,配置管理,任务计划管理等。后续还有监控报警等。 开源地址: https://github.com/openspug/spug 二、CoDo开源一站式DevOps平台 介绍: CODO是一款为用户提供企业多混合云、自动化运维、完全开源的云管理平台。 CODO前端基于Vue iview开发、为用户提供友好的操作界面,增强用户体验。 CODO后端基于Python Tornado开发,其优势为轻量、简洁清晰、异步非阻塞。 CODO
基于旁路监听的数据库安全审计系统
06-14
通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle 数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一 种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计, 并实现了数据库操作行为的安全检测。
RealFace上网行为管理软件
09-29
RealFace上网行为管理软件能够让管理者通过一台管理机管理所有员工机,通过软件可以查看员工正在做什么,也可以把所有员工分成组来进行管理,可以设置每个组有不同的权限,有的组可以设置允许打开所有的网站而有的组可以设置只有打开指定的网站,每个组中的员工也可以设置不同的权限,可以设置哪些员工可以登录QQ哪些员工不可以登录,又有哪些员工只能登录公司指定的QQ等等
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统
最新发布
04-06
Jumpserver 是广受欢迎的开源堡垒机,遵循GPL v3开源许可协议,是符合4A(包含认证Authentication 、授权Authorization、 账号Accounting和审计Auditing)规范的运维安全审计系统。它通过企业版或者软硬件一体机的...
JumpServer 是全球首款开源堡垒机,是符合 4A 的专业运维安全审计系统。-Python开发
05-24
JumpServer 是全球首款开源堡垒机,是符合 4A 的专业运维安全审计系统。 JumpServer 多云环境下更好用的堡垒机 Developer Wanted JumpServer 正在寻找开发者,一起为改变世界做些贡献吧,哪怕一点点,...
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统.zip
02-07
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统.zip
jumpserver:JumpServer 是全球首款开源堡垒机,是符合 4A 的专业运维安全审计系统
05-11
JumpServer 是全球首款开源堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。 JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,...
Windows Server2012安装.NET Framework的时候提示找不到源文件
热门推荐
Enweitech Software Works
05-13 4万+
【案例】Windows Server2012安装安装系统软件组件的时候提示“安装一个或多个角色、角色服务或者功能失败,找不到资源文件或者与之权限不对” windows server 2012安装.NET Framework的时候提示找不到源文件,是因为用了优化软件清理过系统盘了,所以找不到源文件。 解决办法:插入2012安装光盘或者把2012的镜像文件iso加载到虚拟光驱。
使用Clonezilla("再生龙")对Linux系统硬盘进行镜像和克隆
Enweitech Software Works
09-02 3万+
Clonezilla和Tuxboot简介 Clonezilla 是一个很好的系统克隆工具,它可以说是吸取了 Norton Ghost 和 Partition Image 的优点。即不仅支持对整个系统进行克隆,而且也可以克隆单个的分区,这种灵活性可能更能适应备份者的需要。 Clonezilla详细说明 Clonezilla是一个用于Linux,Free-
JumpServer 开源堡垒机的作用
05-24
JumpServer 是一款开源堡垒机软件,其主要作用是为企业提供一个安全的远程访问管理平台。具体而言,JumpServer 可以实现以下功能: 1. 提供统一的登录入口:通过 JumpServer,用户可以在一个统一的登录页面输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值