(项目)审计系统(堡垒机)

项目背景


需求分析

# 解决需求:
1、记录用户操作    
    实现方式1:改ssh客户端的源代码,10w+  
    实现方式2:修改已有python ssh 库,加入指令记录的功能(推荐)
2、实现权限管理:
    A  支付系统的机器(500) 
        10.0.1.11  root
        10.0.1.12  mysql    
    B   10.0.1.12 root 

3、日志记录:记入到数据库 
4、密码&秘钥:2种方式实现服务器登陆

数据库设计


from django.db import models
from django.contrib.auth.models import User


# Create your models here.
class IDC(models.Model):
    """    机房信息    """
    name = models.CharField(max_length=64, unique=True)

    def __str__(self):
        return self.name


class Host(models.Model):
    """存储所有主机信息"""
    hostname = models.CharField(max_length=64, unique=True)
    ip_addr = models.GenericIPAddressField(unique=True)
    port = models.IntegerField(default=22)
    idc = models.ForeignKey('IDC', on_delete='')
    enabled = models.BooleanField(default=True)

    def __str__(self):
        return '%s-%s' % (self.hostname, self.ip_addr)


class HostGroup(models.Model):
    """主机组"""
    name = models.CharField(max_length=64, unique=True)
    host_user_binds = models.ManyToManyField('HostUserBind')

    def __str__(self):
        return self.name


class HostUser(models.Model):
    """存储远程主机的用户信息"""
    auth_type_choices = ((0, 'ssh-password'), (1, 'ssh-key'))
    auth_type = models.SmallIntegerField(choices=auth_type_choices)
    username = models.CharField(max_length=32)
    password = models.CharField(blank=True, null=True, max_length=128)

    def __str__(self):
        return '%s-%s-%s' % (self.get_auth_type_display(), self.username, self.password)

    class Meta:
        unique_together = ('username', 'password')


class HostUserBind(models.Model):
    """绑定主机和用户"""
    host = models.ForeignKey('Host', on_delete='')
    host_user = models.ForeignKey('HostUser', on_delete='')

    def __str__(self):
        return '%s-%s' % (self.host, self.host_user)


class Account(models.Model):
    """堡垒机账户"""
    user = models.OneToOneField(User, on_delete='')  # 用户Django框架提供的用户验证模块
    name = models.CharField(max_length=64)

    host_user_bind = models.ManyToManyField('HostUserBind', blank=True)
    host_groups = models.ManyToManyField('HostGroup', blank=True)


class SessionLog(models.Model):
    """记录堡垒机用户登陆堡垒机信息的日志,同时用于生成记录用户指令文件的名称"""
    account = models.ForeignKey('Account', on_delete='')
    host_user_bind = models.ForeignKey('HostUserBind', on_delete='')
    start_date = models.DateTimeField(auto_now_add=True)
    end_date = models.DateTimeField(blank=True, null=True)

    def __str__(self):
        return '%s-%s' % (self.account, self.host_user_bind)


class AuditLog(models.Model):
    """记录堡垒机账户操作远程服务器指令的日志"""
    session = models.ForeignKey('SessionLog', on_delete='')
    cmd = models.TextField()  # 记录操作指令
    data = models.DateTimeField(auto_now_add=True)  # 自动添加当前时间

    def __str__(self):
        return '%s-%s' % (self.session, self.cmd)

linux中用strace命令来实现监测用户指令


命令说明:

strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。

-c 统计每一系统调用的所执行的时间,次数和出错的次数等.
-d 输出strace关于标准错误的调试信息.
-f 跟踪由fork调用所产生的子进程.
-ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号.
-F 尝试跟踪vfork调用.在-f时,vfork不被跟踪.
-h 输出简要的帮助信息.
-i 输出系统调用的入口指针.
-q 禁止输出关于脱离的消息.
-r 打印出相对时间关于,,每一个系统调用.
-t 在输出中的每一行前加上时间信息.
-tt 在输出中的每一行前加上时间信息,微秒级.
-ttt 微秒级输出,以秒了表示时间.
-T 显示每一调用所耗的时间.
-v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出.
-V 输出strace的版本信息.
-x 以十六进制形式输出非标准字符串
-xx 所有字符串以十六进制形式输出.
-a column 设置返回值的输出位置.默认 为40.
-e expr 指定一个表达式,用来控制如何跟踪.格式:[qualifier=][!]value1[,value2]...
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:-eopen等价于 -e trace=open,表示只跟踪open调用.而-etrace!=open 表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none. 注意有些shell使用!来执行历史记录里的命令,所以要使用\\.
-e trace=set 只跟踪指定的系统 调用.例如:-e trace=open,close,rean,write表示只跟踪这四个系统调用.默认的为set=all.
-e trace=file 只跟踪有关文件操作的系统调用.
-e trace=process 只跟踪有关进程控制的系统调用.
-e trace=network 跟踪与网络有关的所有系统调用.
-e strace=signal 跟踪所有与系统信号有关的 系统调用
-e trace=ipc 跟踪所有与进程通讯有关的系统调用
-e abbrev=set 设定strace输出的系统调用的结果集.-v 等与 abbrev=none.默认为abbrev=all.
-e raw=set 将指定的系统调用的参数以十六进制显示.
-e signal=set 指定跟踪的系统信号.默认为all.如 signal=!SIGIO(或者signal=!io),表示不跟踪SIGIO信号.
-e read=set 输出从指定文件中读出 的数据.例如: -e read=3,5
-e write=set 输出写入到指定文件中的数据.
-o filename 将strace的输出写入文件filename
-p pid 跟踪指定的进程pid.
-s strsize 指定输出的字符串的最大长度.默认为32.文件名一直全部输出.
-u username 以username的UIDGID执行被跟踪的命令

strace监控堡垒机用ssh连接其它服务器时输入的命令(在xsheel终端连接堡垒机后,监控堡垒机输入的指令):

这里写图片描述

将监控的命令结果输出到文件ssh_log:包含时间

这里写图片描述

这里写图片描述

通过Python subprocess连接远程主机(实时交互+免输入密码登陆)


openssh源码的linux版本下载

下载地址:http://www.openssh.com/portable.html

这里写图片描述

将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。

通过FTP软件将项目上传至堡垒机服务器上:

通过Python subprocess连接远程主机(实时交互+免输入密码登陆)


openssh源码的linux版本下载

下载地址:http://www.openssh.com/portable.html

这里写图片描述

将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。
通过FTP软件将项目上传至堡垒机服务器上。

上传sshpass-1.06.tar文件用于免密登陆的软件

  • 先编译成二进制,再安装:
    这里写图片描述
    这里写图片描述
    这里写图片描述

    • 也可以通过apt一步安装到位:
      这里写图片描述

    • 查看apt-get install所安装的软件所在位置:dpkg -L 软件名
      这里写图片描述

      这里写图片描述

    • 堡垒机无需再输入密码连接远程服务器:

      这里写图片描述

代码实现堡垒机免密登陆远程服务器:

  • audit_shell.py文件:
#_*_coding:utf-8_*_
import os
import sys

if __name__ == '__main__':
    # 将django添加到环境变量中
    os.environ.setdefault("DJANGO_SETTINGS_MODULE", "audit.settings")
    import django
    django.setup()  # 手动注册django中所有的APP

    from audit_init.backend import user_interactive

    obj = user_interactive.UserShell(sys.argv)    # 终端运行该脚本时传入的参数
    obj.start()
  • user_interactive.py文件:

from django.contrib.auth import authenticate
from audit_init import models
import subprocess
class UserShell():
    """用户登陆堡垒机后的shell"""
    def __init__(self, sys_argv):
        self.sys_argv = sys_argv
        self.user = None    # 用来保存验证过的用户对象

    def auth(self):
        """用Django自带认证系统进行用户验证"""
        count = 0
        while count < 3:    # 允许用户输入3次,
            username = input('请输入堡垒机账户名:').strip()
            password = input('请输入堡垒机密码:').strip()
           # 进行用户认证,通过则获得user对象,
            user = authenticate(username=username, password=password)

            if not user:
                count += 1
                print('用户不存在!请重新输入')
            else:
                self.user = user
                return True
        else:
            print('输入次数超过3次,请稍候再试')


    def start(self):
        """启动交互程序"""
        if self.auth(): # 如果登陆成功
            while True:
                host_groups = self.user.account.host_groups.all()   # 通过user表反向查询出所有主机组
                print(host_groups)
                for index, group in enumerate(host_groups):
                    # group.host_user_binds.count() 计算一个组下有多少台主机
                    print('%s, \t%s[%s]'%(index, group, group.host_user_binds.count()))
                print("%s.\t未分组机器[%s]" % (len(host_groups), self.user.account.host_user_binds.count()))
                try:
                    choice = input('请选择组:').strip()
                    if choice.isdigit():    # 如果输入的是数字
                        choice = int(choice)
                        host_bind_list = None
                        if choice >= 0 and choice < len(host_groups):#
                            selected_group = host_groups[choice]
                            host_bind_list = selected_group.host_user_binds.all()
                        elif choice == len(host_groups):#选择的未分组机器
                            host_bind_list = self.user.account.host_user_binds.all()

                        if host_bind_list:
                            while True:
                                for index, host in enumerate(host_bind_list):
                                    print('%s, \t%s'%(index, host))
                                choice2= input('请选择主机:').strip()
                                if choice2.isdigit():
                                    choice2 = int(choice2)  # 转换成int类型
                                    if choice2 >= 0 and choice2 < len(host_bind_list):
                                        selected_host = host_bind_list[choice2]
                                        # StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证
                                        cmd = 'sshpass -p %s ssh %s@%s -p %s -o StrictHostKeyChecking=no ' % (
                                        selected_host.host_user.password, selected_host.host_user.username,
                                        selected_host.host.ip_addr, selected_host.host.port)
                                        subprocess.run(cmd, shell=True) # 启动shell程序窗口
                                elif choice2 == 'b':
                                    break

                except KeyboardInterrupt as e:
                    pass
  • 该部分操作时引出的问题:
1、无法通过浏览器访问linux服务器上的djangoWeb项目:
解决方式:python manage.py runserver 0.0.0.0:8000   # 手动设置访问地址,同时清除浏览器中的修改化设置内容

通过修改SSH源码作唯一标识,完成主机识别


问题背景:

1台堡垒机同时远程连接多台服务器时,无法将两者的进程信息进行区分,导致获取不到对应的端口号。

这里写图片描述

解决方式:通过ssh连接时传入随机数作为唯一标识,进行进程号的获取,从而通过strace进行监控

  • 修改ssh源码(文件ssh.c中修改):

这里写图片描述

这里写图片描述

  • linux编译并安装openssh:

这里写图片描述

这里写图片描述

这里写图片描述
此处执行编译时可能报error: * zlib.h missing - please install first or check config.log *“这是由于缺少zlib-devel所致,只需安装zlib-devel即可,执行命令:yum install zlib-devel;
还有可能会包”OpenSSL headers missing - please install first or check config.log *“的错误,这是缺少openssl-devel所致,只需安装openssl-devel即可,执行命令:yum install openssl-devel

这里写图片描述

备注:当编译出错时,修改编译后,需要通过make clean清除原有的编译文件,保持环境干净.

这里写图片描述

  • 该阶段可能出现的报错:
    这里写图片描述

  • 解决方式:校正时区
    timedatectl set-timezone “Asia/Shanghai”
    timedatectl set-timezone UTC #推荐使用和设置协调世界时,即UTC。
    yum -y install ntp
    systemctl status ntpd

  • 测试修改后的ssh源码是否能够通过sshpass连接服务器,并携带自定义的参数:

这里写图片描述

  • 可看到当前进程携带了自定义的参数用来进行过滤筛选:

这里写图片描述

修改python代码,筛选过滤出进程号,用来监控该进程号:

# 略……
      if choice2 >= 0 and choice2 < len(host_bind_list):
                                        selected_host = host_bind_list[choice2]
                                        # 生成随机字符串作为连接每台服务器后,监控进程的唯一标识
                                        import string
                                        import random
                                        s = string.ascii_lowercase + string.digits  # 获得所有小写字母+数字
                                        random_tag = ''.join(random.sample(s, 10))   # 取样
                                        # StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证
                                        cmd = 'sshpass -p %s /usr/local/openssh7/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s'  % (
                                        selected_host.host_user.password, selected_host.host_user.username,
                                        selected_host.host.ip_addr, selected_host.host.port, random_tag)
                                        subprocess.run(cmd, shell=True) # 启动shell程序窗口

# 略……
  • 运行脚本后,可获得堡垒机连接到不同服务器时对应的进程号:

这里写图片描述

编辑linux系统中的脚本文件.sh

  • 前提准备:对当前用户的sudo权限进行修改,免除运行.sh脚本时需要输入sudo密码进行安全验证的动作

注意:一定要在root用户下进行修改,否则会造成sudo无法使用,使得系统崩溃。
这里写图片描述
这里写图片描述

编写执行脚本:

#!/bin/bash

for i in $(seq 1 30);do
    echo $i $1  # $1表示传入脚本文件中的参数(随机字符串)
    # ``表示可以执行的命令,echo时,如果不添加``,则直接以字符串形式输出内容
    process_id = `ps -ef | grep $1 | grep -v sshpass | grep -v grep | grep -v 'session_tracker.sh' | awk '{print $2}'`
    # 输出得到的$process_id变量值
    echo "process: $process_id"

    # 如果$process_id不为空时
    if [ ! -z "$process_id" ];then
        echo 'start run strace……'
        # 监控用户输入的指令内容,将内容输出到指定位置($0表示输入的第一个参数)
        strace -fp $process_id -t -o $(cd `dirname $0`; pwd)/nnnnnnnnn.log;
        break;
    fi
    sleep 1
done;

运行脚本:

注:需先通过堡垒机的sshpass命令远程登陆一台服务器。
这里写图片描述

执行脚本命令:
这里写图片描述

会话监测日志

记录 堡垒机账户,登录主机的账户,登录的主机ip , 创建SessionLog 表,每次会话前创建一个sessionlog 记录, 把这个记录的ID传给session_tracker.sh ,因此 实现Session_tracker.sh 创建的会话日志 会以 sessionlog.id 命名 。

略……

s = string.ascii_lowercase +string.digits   # 生成所有小写字符加数字
random_tag = ''.join(random.sample(s,10))   # 随机选择生成随机字符串
# 为session会话日志添加数据,获得session的Queryset对象
session_obj = models.SessionLog.objects.create(account=self.user.account,host_user_bind=selected_host)
# 格式化cmd命令,实现免密远程登陆
cmd = "sshpass -p %s /usr/local/openssh/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s" %(selected_host.host_user.password,selected_host.host_user.username,selected_host.host.ip_addr,selected_host.host.port ,random_tag)

#start strace ,and sleep 1 random_tag, session_obj.id
session_tracker_script = "/bin/sh %s %s %s " %(settings.SESSION_TRACKER_SCRIPT,random_tag,session_obj.id)

# 执行脚本,循环检测是否连接到远程服务,记录用户发送给远程服务器的指令
session_tracker_obj =subprocess.Popen(session_tracker_script, shell=True,stdout=subprocess.PIPE,stderr=subprocess.PIPE)

# 启动新的shell窗口,连接到远程服务器
ssh_channel = subprocess.run(cmd,shell=True)
print(session_tracker_obj.stdout.read(), session_tracker_obj.stderr.read())

略……

注意: python3 manage.py migrate –fake # 伪装执行完成数据库记录更改

解析命令日志文件:

略……

访问堡垒机服务器时自动启动的脚本文件:

这里写图片描述
通过修改脚本文件来设置启动内容项。

将项目移动至local目录下作为生产环境的位置:

这里写图片描述

可能的报错问题:

这里写图片描述

解决方式:
这里写图片描述

这里写图片描述

无需添加sudo命令来执行其它命令:

这里写图片描述

退出程序时应该一并退出堡垒机服务器:

这里写图片描述

这里写图片描述

代码级别的控制:

这里写图片描述

总结:

此方式不适用对用户操作的方式无法有效记录!!!

这里写图片描述
这里写图片描述

paramiko模块监控用户命令输入


paramiko模块命令监控演示:

1、从github上下载该模块
2、改写interactive.py 中的代码,添加一行print(‘->’, x)代码:
这里写图片描述

3、执行该demo.py模块文件:

这里写图片描述

拼接命令:

这里写图片描述

修改paramiko源码:

  • ssh_interactive.py
import base64
from binascii import hexlify
import getpass
import os
import select
import socket
import sys
import time
import traceback
from paramiko.py3compat import input
import paramiko

try:
    import interactive
except ImportError:
    from . import interactive


def manual_auth(t, username,password):
    t.auth_password(username, password)

def ssh_session(bind_host_user, user_obj):
    # now connect
    hostname = bind_host_user.host.ip_addr
    port = bind_host_user.host.port

    username = bind_host_user.host_user.username
    password = bind_host_user.host_user.password
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.connect((hostname, port))
    except Exception as e:
        print("*** Connect failed: " + str(e))
        traceback.print_exc()
        sys.exit(1)

    try:
        t = paramiko.Transport(sock)
        try:
            t.start_client()
        except paramiko.SSHException:
            print("*** SSH negotiation failed.")
            sys.exit(1)

        try:
            keys = paramiko.util.load_host_keys(
                os.path.expanduser("~/.ssh/known_hosts")
            )
        except IOError:
            try:
                keys = paramiko.util.load_host_keys(
                    os.path.expanduser("~/ssh/known_hosts")
                )
            except IOError:
                print("*** Unable to open host keys file")
                keys = {}

        # check server's host key -- this is important.
        key = t.get_remote_server_key()
        if hostname not in keys:
            print("*** WARNING: Unknown host key!")
        elif key.get_name() not in keys[hostname]:
            print("*** WARNING: Unknown host key!")
        elif keys[hostname][key.get_name()] != key:
            print("*** WARNING: Host key has changed!!!")
            sys.exit(1)
        else:
            print("*** Host key OK.")


        if not t.is_authenticated():
            manual_auth(t, username, password)
        if not t.is_authenticated():
            print("*** Authentication failed. :(")
            t.close()
            sys.exit(1)

        chan = t.open_session()
        chan.get_pty()
        chan.invoke_shell()
        print("*** Here we go!\n")
        from audit_init import models

        # 创建会话日志
        session_obj = models.SessionLog.objects.create(account=user_obj.account,
                                      host_user_bind=bind_host_user,
                                      )
        interactive.interactive_shell(chan, session_obj)    # 启动shell终端
        chan.close()
        t.close()

    except Exception as e:
        print("*** Caught exception: " + str(e.__class__) + ": " + str(e))
        traceback.print_exc()
        try:
            t.close()
        except:
            pass
        sys.exit(1)
  • interactive.py
import socket
import sys
from paramiko.py3compat import u
from audit_init import models
# windows does not have termios...
try:
    import termios
    import tty

    has_termios = True
except ImportError:
    has_termios = False


def interactive_shell(chan, session_obj):
    if has_termios:
        posix_shell(chan,session_obj)
    else:
        windows_shell(chan)


def posix_shell(chan, session_obj):
    import select

    oldtty = termios.tcgetattr(sys.stdin)
    try:
        tty.setraw(sys.stdin.fileno())
        tty.setcbreak(sys.stdin.fileno())
        chan.settimeout(0.0)
        flag = False
        cmd = ''
        while True:
            r, w, e = select.select([chan, sys.stdin], [], [])
            if chan in r:
                try:
                    x = u(chan.recv(1024))
                    if len(x) == 0: # 未输入指令状态/ctrl+c退出shell终端时
                        sys.stdout.write("\r\n*** EOF\r\n")
                        break
                    if flag:
                        cmd+=x
                        flag=False
                    sys.stdout.write(x)
                    sys.stdout.flush()
                except socket.timeout:
                    pass
            if sys.stdin in r:
                x = sys.stdin.read(1)
                if len(x) == 0:
                    break
                if x == '\r':
                    models.AuditLog.objects.create(session=session_obj, cmd=cmd)    # 将用户输入的命令写入数据表
                    cmd=''  # 清空
                elif x == '\t':
                    flag = True
                else:
                    cmd += x
                chan.send(x)

    finally:
        termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty)


# thanks to Mike Looijmans for this code
def windows_shell(chan):
    import threading

    sys.stdout.write(
        "Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n"
    )

    def writeall(sock):
        while True:
            data = sock.recv(256)
            if not data:
                sys.stdout.write("\r\n*** EOF ***\r\n\r\n")
                sys.stdout.flush()
                break
            sys.stdout.write(data)
            sys.stdout.flush()

    writer = threading.Thread(target=writeall, args=(chan,))
    writer.start()

    try:
        while True:
            d = sys.stdin.read(1)
            if not d:
                break
            chan.send(d)
    except EOFError:
        # user hit ^Z or F6
        pass
  • user_interactive.py
略……
                                    if choice2 >= 0 and choice2 < len(host_bind_list):
                                        selected_host = host_bind_list[choice2]
                                        # 生成随机字符串作为连接每台服务器后,监控进程的唯一标识

                                        from audit_init.backend.ssh_interactive import ssh_session
                                        ssh_session(selected_host, self.user)
略……
  • 在admin组件中展示特定字段:
from django.contrib import admin
from audit_init import models
# Register your models here.


class AuditLogAdmin(admin.ModelAdmin):
    # 在admin后台展示的字段
   list_display = ['session', 'cmd', 'date']
    # 在admin后台搜索的条件字段
   list_filter = ['date', 'session']

class SessionLogAdmin(admin.ModelAdmin):
    list_display = ['id','account','host_user_bind','start_date','end_date']
    list_filter = ['start_date','account']


admin.site.register(models.IDC)
admin.site.register(models.HostGroup)
admin.site.register(models.Host)
admin.site.register(models.HostUser)
admin.site.register(models.HostUserBind)
admin.site.register(models.Account)
admin.site.register(models.SessionLog, SessionLogAdmin)
admin.site.register(models.AuditLog, AuditLogAdmin)

将前端模版嵌入堡垒机


static路径问题:

settings配置文件:


# 静态资源位置加载,可兼容多个路径
STATIC_URL = '/static/' # 静态资源入口
STATICFILES_DIRS = (
    os.path.join(BASE_DIR,'statics'), # 允许多个静态资源路径
)

母版改造:

  • base.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title> audit | AI堡垒机</title>
    <link href="http://fonts.googleapis.com/css?family=Open+Sans:300,400,600,700&amp;subset=latin" rel="stylesheet">
    <link href="/static/css/bootstrap.min.css" rel="stylesheet">
    <link href="/static/css/nifty.min.css" rel="stylesheet">
    <link href="/static/premium/icon-sets/icons/line-icons/premium-line-icons.min.css" rel="stylesheet">
    <link href="/static/premium/icon-sets/icons/solid-icons/premium-solid-icons.min.css" rel="stylesheet">
    <link href="/static/css/pace.min.css" rel="stylesheet">
    <script src="/static/js/pace.min.js"></script>
    <script src="/static/js/jquery.min.js"></script>
    <script src="/static/js/bootstrap.min.js"></script>
    <script src="/static/js/nifty.min.js"></script>
</head>

<body>
{% block body %}

{% endblock %}

</body>
</html>
  • index.html
{% extends 'base.html' %}
{% block body %}
略……

{% endblock%}

登陆与退出


urls:

 url(r'^$', views.index),
 url(r'^login.html/$', views.acc_login),
 url(r'^login_out.html/$', views.acc_login_out),

views:

def index(request):
    return render(request, 'index.html',)

def acc_login(request):
    """
    登录
    :param request:
    :return:
    """
    if request.method == 'POST':
        # 登陆成功
        print('11')
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 使用django自带的用户认证
        user = authenticate(username=username, password=password)
        if user:
            # 将用户封装到request中的session中响应给浏览器
            login(request, user)
            return redirect('/')
     # 登陆失败
    return render(request, 'login.html',)

def acc_login_out(request):
    """
    退出登陆
    :param request:
    :return:
    """
    logout(request)
    return redirect('/login.html/')

login.html

{% extends 'base.html' %}
{% block body %}
    <div id="container" class="cls-container">
        <!-- LOGIN FORM -->
        <!--===================================================-->
        <div class="cls-content">
            <div class="cls-content-sm panel">
                <div class="panel-body">
                    <div class="mar-ver pad-btm">
                        <h1 class="h3">用户登陆</h1>
                    </div>
                    <form action="/login.html/" method="POST" >
                        <div class="form-group">
                            <input type="text" class="form-control" placeholder="Username" autofocus name="username">
                        </div>
                        <div class="form-group">
                            <input type="password" class="form-control" placeholder="Password" name="password">
                        </div>
                        <div class="checkbox pad-btm text-left">
                            <input id="demo-form-checkbox" class="magic-checkbox" type="checkbox">
                            <label for="demo-form-checkbox">Remember me</label>
                        </div>
                        <button class="btn btn-primary btn-lg btn-block" type="submit">登陆</button>
                    </form>
                </div>

                <div class="pad-all">
                    <a href="#" class="btn-link mar-rgt">忘记密码 ?</a>

                </div>
            </div>
        </div>
    </div>


{% endblock %}

index.html:

从request中获得session中的用户名#}
<div class="username hidden-xs">{{ request.user }}</div>

<div class="pad-all text-right">
<a href="/login_out.html/" class="btn btn-primary">
    <i class="pli-unlock icon-fw"></i>退出
</a>

控制导航栏高亮显示


url:

 url(r'^host_list/$', views.host_list, name='host_list'),

views:


def host_list(request):
    return render(request, 'host_list.html',)

index.html:

省略页面改造步骤

略……

 <script>
 $(function () {
     {#第一种显示高亮的函数#}
    /*$("#mainnav-menu a").click(function () {
         $(this).parent().addClass('active-link')
    });*/
     {##第一种显示高亮的函数:通过属性选择器获得前当URL对应的a标签,从而控制a标签的高亮#}
     $("#mainnav-menu a[href='{{ request.path }}']").parent().addClass('active-link');
 });
 </script>

 略……

Django自带用户认证


使用认证装饰器@login_required

# views:

from django.contrib.auth.decorators import login_required
# 登陆认证过滤装饰器
@login_required
def index(request):
    return render(request, 'index.html',)

def acc_login(request):
    """
    登录
    :param request:
    :return:
    """
    if request.method == 'POST':
        # 登陆成功
        print('11')
        username = request.POST.get('username')
        password = request.POST.get('password')
        # 使用django自带的用户认证
        user = authenticate(username=username, password=password)
        if user:
            # 将用户封装到request中的session中响应给浏览器
            login(request, user)
            # 从url中获取next中的地址,可以重新载入登陆前的url地址
            return redirect(request.GET.get('next') or '/') 
     # 登陆失败
    return render(request, 'login.html',)

settings配置文件:

LOGIN_URL = '/login/'   # 用户认证装饰器默认跳转的页面url为 /login/

主机列表开发


html改造:

{% extends 'index.html' %}

{% block page_title %}
    主机列表
{% endblock %}

{% block current_location %}
    主机列表
{% endblock %}

{% block page_content %}

    <div class="panel col-lg-3">
        <div class="panel-heading">
            <h3 class="panel-title">
                <trans oldtip="Panel with header" newtip="带标头的面板" style="">主机组</trans>
            </h3>
        </div>
        <div class="panel-body">
            <p>
            <div class="panel-body">

                <!--List Group with Badges-->
                <!--===================================================-->
                <ul class="list-group">
                    {% for group in request.user.account.host_groups.all %}
                        <li class="list-group-item" onclick="GetHostlist({{ group.id }}, this)"><span
                                class="badge badge-primary">{{ group.host_user_binds.count }}</span>{{ group.name }}
                        </li>
                    {% endfor %}
                    <li class="list-group-item" onclick="GetHostlist(-1, this)"><span
                            class="badge badge-primary">{{ request.user.account.host_user_binds.count }}</span>未分组主机
                    </li>

                </ul>


            </div>
            </p>
        </div>
    </div>
    <div class="panel col-lg-9">
        <div class="panel-heading">
            <h3 class="panel-title">
                <trans oldtip="Panel with header" newtip="带标头的面板" style="">主机列表</trans>
            </h3>
        </div>

        <!-- Striped Table -->
        <!--===================================================-->
        <div class="panel-body">
            <div class="table-responsive">
                <table class="table table-striped">
                    <thead>
                    <tr>
                        <th>Hostname</th>
                        <th>IP</th>
                        <th>IDC</th>
                        <th>Port</th>
                        <th>Username</th>
                        <th>Login</th>
                        <th>Token</th>
                    </tr>
                    </thead>
                    <tbody id="hostlist">

                    </tbody>
                </table>
            </div>
        </div>
        <!--===================================================-->
        <!-- End Striped Table -->
    </div>
{% endblock %}

js部分:

<script>

        function GetHostlist(gid, self) {
            $.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback) {
                var data = JSON.parse(callback);
                console.log(data)

                var trs = ''
                $.each(data, function (index, i) {
                    var tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name
                        + "</td><td>" + i.host__port + "</td><td>" + i.host_user__username + "</td><td>"
                    trs += tr
                    $("#hostlist").html(trs);
                })
            });
            $(self).addClass("active").siblings().removeClass('active');
        }
    </script>

urls:

    url(r'^api/hostlist/$', views.get_host_list, name='get_host_list'),

views:

@login_required
def get_host_list(request):
    gid = request.GET.get('gid')
    if gid:
        if gid == '-1': # 未分组
            host_list = request.user.account.host_user_binds.all()
        else:
            group_obj = request.user.account.host_groups.get(id = gid)
            host_list = group_obj.host_user_binds.all()
            import json
            data = json.dumps(list(host_list.values('id', 'host__hostname', 'host__ip_addr', 'host__port',
                                       'host_user__username')))
            print(data)
            return HttpResponse(data)

shellinabox使用


Shellinabox 是一个利用 Ajax 技术构建的基于 Web 的远程Terminal 模拟器,也就是说安装了该软件之后,不需要开启 ssh服务,通过 Web 网页就可以对远程主机进行维护操作了,出于安全考虑, Shellinabox 默认强制使用了https协议,这是个挺有趣的技术,因而就在rhel6上面折腾了下,下面记录了主要的操作步骤:

安装

下载地址:https://github.com/shellinabox/shellinabox

安装准备:(提前装好C环境)yum -y install gcc
netstate 工具安装: yum -y install net-tools

一:编译安装Shellinabox
[root@rhel6 ~]# cd /usr/local/src/tarbag/
[root@rhel6 tarbag]# wgethttp://shellinabox.googlecode.com/files/shellinabox-2.10.tar.gz
[root@rhel6 tarbag]# tar -zxvf shellinabox-2.10.tar.gz -C ../software/
[root@rhel6 tarbag]# cd ../software/shellinabox-2.10/
[root@rhel6 shellinabox-2.10]# ./configure --prefix=/usr/local/shellinabox
[root@rhel6 shellinabox-2.10]# make && make install

二:试启动Shellinabox,可以加上--help参数查看启动选项,这里可以看到默认Shellinabox采用https方式启动
[root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd
Cannot read valid certificate from "certificate.pem". Check file permissions and file format.

[root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd -b -t  //-b选项代表在后台启动,-t选项表示不使用https方式启动,默认以nobody用户身份,监听TCP4200端口

[root@rhel6 ~]# netstat -ntpl |grep shell  # 查看端口号
tcp        0      0 0.0.0.0:4200                0.0.0.0:*                   LISTEN      16823/shellinaboxd

使用:

1、关闭防火墙:
systemctl   stop firewalled.service
systemctl   disable firewalled.service

2、浏览器访问:ip+端口号

后台生成token在前端页面


html

<script>
        function GetToken(self, bind_host_id) {   # 生成token的函数
            $.post("{% url 'get_token' %}", {'bind_host_id':bind_host_id, 'csrfmiddlewaretoken':'{{csrf_token}}'}, # 通过ajax使用反向url生成的形式发送post请求
                function (callback) {
                    console.log(callback)
                    var data = JSON.parse(callback)
                    $(self).parent().next().text(data.token)
                })
        }


        function GetHostlist(gid, self) {
            $.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback) { # 通过ajax使用反向url生成的形式发送get请求
                var data = JSON.parse(callback);
                console.log(data)
                var trs = ''
                var tr= ''
                $.each(data, function (index, i) {
                     tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name
                        + "</td><td>" + i.host__port + "</td><td>" + i.host_user__username +"</td><td><a class='btn btn-info' onclick=GetToken(this,'"+i.id+"')>Token</a>Login</td><td><td></tr>" # 调用GetToken函数来生成token
                     trs += tr
                })
                $("#hostlist").html(trs);
            });
            $(self).addClass("active").siblings().removeClass('active');
        }


    </script>

url:

 url(r'^api/token/$', views.get_token, name='get_token'),

views:


@login_required
def get_token(request):
    """生成token并返回"""
    from django.utils import timezone
    bind_host_id = request.POST.get('bind_host_id')

    # 这里需要使用timezone.now来获取本地当前时间,而非datatime().datatime(),因为关系到需要自适应时区的问题,否则报错
    time_obj =  timezone.now() - datetime.timedelta(seconds=300) # 获得5分钟前的时间
    exist_token_objs = models.Token.objects.filter(account_id=request.user.account.id,
                                                   host_user_bind_id=bind_host_id,
                                                   date__gt=time_obj )
    if exist_token_objs: # has token already
        token_data ={'token':exist_token_objs[0].val}
    else:
        token_val = ''.join(random.sample(string.ascii_lowercase+string.digits,8))
        token_obj = models.Token.objects.create(
            host_user_bind_id = bind_host_id,
            account = request.user.account,
            val = token_val
        )
        token_data = {'token':token_val}
    return HttpResponse(json.dumps(token_data))

model

class Token(models.Model):
    host_user_bind = models.ForeignKey("HostUserBind", on_delete='')
    val = models.CharField(max_length=128,unique=True)
    account = models.ForeignKey("Account", on_delete='')
    expire = models.IntegerField("超时时间(s)",default=300)
    date = models.DateTimeField(auto_now_add=True)

    def __str__(self):
        return "%s-%s" %(self.host_user_bind,self.val)

批量命令页面开发(全选功能+数量统计)


html

{% extends 'index.html' %}

{% block page_title %}
    主机列表
{% endblock %}

{% block current_location %}
    主机列表
{% endblock %}

{% block page_content %}
    {% csrf_token %}
    <div id="page-content">
        <div class="panel col-lg-3">
            <div class="panel-heading">
                <h3 class="panel-title">
                    <trans oldtip="Panel with header" newtip="带标头的面板" style="">
                        主机组 <label id="selected_hosts"></label>
                    </trans>
                </h3>
            </div>
            <div class="panel-body">
                <p>
                <div class="panel-body">

                   <ul class="list-group " id="host_groups">
                        {% for group in request.user.account.host_groups.all %}
                            <li class="list-group-item ">
                                <span class="badge badge-primary">{{ group.host_user_binds.count }}</span>
                                <input type="checkbox" onclick="checkAll(this)">
                                    # 循环主机名
                                <a onclick="DisplayHostList(this)">{{ group.name }}</a>
                                <ul class="hide">

                                    {% for bind_host in group.host_user_binds.all %}
                                        # 循环主机ip地址
                                        <input type="checkbox" value="{{ bind_host.id }}"
                                               onclick="showCheckHostCount()">
                                        <li>{{ bind_host.host.ip_addr }}</li>
                                    {% endfor %}
                                </ul>
                            </li>
                        {% endfor %}

                        <li class="list-group-item" onclick="DisplayHostList(this)">
                           <input type="checkbox" onclick="checkAll(this)">
                            <span class="badge badge-primary">
                                {{ request.user.account.host_user_binds.count }}
                            </span>未分组主机
                            <ul class="hide">
                                {% for bind_host in request.user.account.host_user_binds.all %}
                                    <li>{{ bind_host.host.ip_addr }}</li>
                                {% endfor %}
                            </ul>
                        </li>
                   </ul>
                </div>
                </p>
            </div>
        </div>
        <div class="panel col-lg-9">
            <div class="panel-heading">
                <h3 class="panel-title">
                    <trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans>
                </h3>
            </div>
            <div class="panel-body">
                ddd
            </div>
        </div>
        <div class="panel col-lg-9">
            <div class="panel-heading">
                <h3 class="panel-title">
                    <trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans>
                </h3>
            </div>
            <div class="panel-body">
                ddd
            </div>
        </div>
    </div>

    <script>
    # 控制隐藏和显示切换
        function DisplayHostList(self) {
            $(self).next().toggleClass('hide')
        }
        function checkAll(self) {
            {#全选功能 复选框#}
            $(self).parent().find('ul :checkbox').prop('checked', $(self).prop('checked'))
            showCheckHostCount()
        }

        {#统计选中的数量#}

        function showCheckHostCount() {
            var selected_host_count = $('#host_groups ul').find(':checked').length;
            $('#selected_hosts').text(selected_host_count);
            return selected_host_count
        }
    </script>

{% endblock %}
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值