总结一下这几年使用堡垒机的经验教训,和大家做一个分享,无论是使用自建堡垒机还是采用一些商用方案,通用的原则是不会变的。希望对大家有所帮助,如果有遗漏的地方,欢迎补充和指教。
原则1:一要建立个人帐号的概念,必须做到一人一个帐号,绝不允许多个人共用个人帐号,更不能允许共同账号登录堡垒机。
原则2:从本机到服务器上每一道防线的安全等级应该是等同的。一定一定不要出现登录跳板机有很强大的管控,但是到了业务服务器上就是人root或者拥有sudo权限类似的情况。
原则3:必须要有操作日志,记录每一条操作或者记录登录到堡垒机后所有的输出。特别是危险的操作,除了直接禁止掉,同时必须要报警出来。
原则4:身份验证,杜