搭建简易堡垒机

最新推荐文章于 2024-04-15 14:48:43 发布
最新推荐文章于 2024-04-15 14:48:43 发布
阅读量1.3k 收藏 5
点赞数 2
分类专栏: 运维linux 文章标签: 堡垒机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37369726/article/details/103265491
版权

一.堡垒机的作用


堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动的服务器,以便集中报警、及时处理及审计定责。
它主要包含登入功能、账号管理、身份认证、资源授权、访问控制和操作审计。我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登入服务器和日志审计。
比较优秀的开源软件有jumpserver,商业堡垒机有齐治、citrix Xenapp。现在也有了云堡垒机。

二.设置简易的堡垒机(跳板机)的思路:

  • 跳板机只开通较少的服务用于登入,做防火墙规则限制
  • 用户、命令权限限制。用jailkit给用户命令限制。
  • 客户机日志审计

三.安装jailkit实现chroot

安装chroot是为了实现chroot限制用户能够执行的命令,它可以把用户限制在一个虚拟的系统里,这个虚拟的环境是chroot的,让用户无法直接操作真实的系统。

安装jailkit:

#切换到/usr/local/src目录下,这个用于存放软件包
cd /usr/local/src/

#下载源码并编译安装
wget http://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
tar -jxvf jailkit-2.19.tar.bz2
cd jailkit-2.19/
./configure
make && make install

生成jail目录,作为虚拟系统的根目录:

mkdir /home/jail

给虚拟系统目录生成一些用户要用到的shell,编辑器、网络相关和ssh:

jk_init -v -j /home/jail/ basicshell
jk_init -v -j /home/jail/ editors
jk_init -v -j /home/jail/ netutils
jk_init -v -j /home/jail/ ssh

创建真实系统用户:

useradd lisi  //注意,这里最好不要带有jail的用户名,可能会出现登入不了的问题
passward lisi

创建虚拟系统的sbin目录,并且拷贝虚拟系统的shell文件:

mkdir /home/jail/usr/sbin
cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh

把真实用户创建成虚拟用户:

jk_jailuser -m -j /home/jail/ lisi

编辑虚拟用户passwd文件,更改:

 1 root:x:0:0:root:/root:/bin/bash
 2 lisi:x:1004:1006::/home/lisi:/bin/bash  //后面登入终端要改成/bin/bash才能够登入成功

我们尝试登入一下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
登入成功后,查询根目录下的文件,看上图,和真实系统对比一下,其实是少了很多的。但是和真实系统/home/jail下的文件是一致的。
而且可用的命令只有118个,常用的yum都没有。

登入成功之后,可以使用密钥登入。
在虚拟用户lisi的根目录下,添加.ssh/authorized_keys,这个用来存放公钥。然后在真实系统里面的/etc/ssh/sshd_config,修改PasswordAuthentication为NO

真实系统上,还需要开启防火墙规则,除了远程端口其他都需要封闭掉,用户先登入它,然后它在ssh连接到真实的服务器上。
还需要在真实服务器上添加白名单ip:

vim /etc/hosts.allow 
sshd: 192.168.1.0/24 1.1.1.1
#添加黑名单
vim /etc/hosts.deny 
sshd ALL //意思是除了白名单其他都deny

四.日志审计

经过上面的步骤之后,真实服务器ssh登入只能通过跳板机登入,其他的都登入不了。
如果觉得还不够安全,还可以在真实服务器上创建普通用户,root用户登入无效。这样跳板机只能登入真实服务器的普通用户,拥有普通权限。需要特权的命令需要普通用户sudo。

日志审计需要在配置在被登入的机器上

#创建一个专门的记录的目录
mkdir /usr/local/records
chmod 777 /usr/local/records
#设置防删除位
chmod +t /usr/local/records

编辑配置文件:

vim /etc/profile
#添加
if [ ! -d  /usr/local/records/${LOGNAME} ]
  then
      mkdir -p /usr/local/records/${LOGNAME}
      chmod 300 /usr/local/records/${LOGNAME}
  fi
  export HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"
  export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$    1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>    $HISTORY_FILE'
#退出后,执行
source /etc/profile

这样就会把用户的操作命令记录下来。
到此,一个简易的堡垒机就搭建完成了,也算不上真正意义的堡垒机吧,只能算是个跳板机。因为我们还没有使用专业的工具去搭建,所以还不太符合堡垒机的概念,但是如果机器不是那么多,只有几台,而且要求也没那么高的话,这种跳板机也就够用了。

运维饺子
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
打造Windows10堡垒主机(V1.0)
HaoRan6885886的博客
05-21 1162
打造 Windows10 堡垒主机 浩 然 (V1.0) “堡垒主机”这个词是有专门含义的概念,最初由美国 Marcus J.Ranum 在《Thinking About Firewalls V2.0:Beyond Perimeter Security》一书中提 出。他提出堡垒主机“是一个以最小化安全定义...
jumpserver 堡垒机搭建
04-17
jumpserver 堡垒机
堡垒机搭建
ikun的博客
03-08 3933
前言 堡垒机是用于解决“运维混乱”的。当公司的运维人员越来越多,当需要运维的设备越来越多,当参与运维的岗位越来越多样性,如果没有一套好的机制,就会产生运维混乱。具体而言,你很想知道“哪些人允许以哪些身份访问哪些设备”而不可得。 任务一 什么是堡垒机 在一定特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段实时收集和监控网络环境中的每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器
堡垒机构建和发布搭建项目(一)
最新发布
m0_70752498的博客
04-15 302
此次编辑打算从最详细处写起(创建虚拟机开始),一步一步落实到位。
搭建堡垒机 jumpserver
weixin_52099680的博客
02-15 1724
前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot .
搭建teleport堡垒机教程
权衡
08-14 1019
查看运行状态: /etc/init.d/teleport status。重启: /etc/init.d/teleport restart。如果发现文件大小不对,请移步官网去下载。通过sftp上传即可。启动: /etc/init.d/teleport start。停止: /etc/init.d/teleport stop。将selinux=enforcing修改成disabled。输入用户名密码后刷新就完事了 数据库根据自己需求配置。出现 ALL DONE 就安装完成了。running是正常的。...
堡垒机/跳板机JumpServer3.4的搭建
ivesgg的博客
06-24 3190
为了保证服务器安全,加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有身份认证,授权,访问控制,审计等功能。Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。在公司中,分配人员服务器权限也是相当方便,如:来一个新人,在Jumpserver分配Jumpserver账号即可,人员离职,在Jumpserver删掉人员账号即可。
堡垒机环境搭建
03-16
jumpserver 堡垒机环境搭建,本文档是指导如何安装jumpserver在私有云上,并指导如何使用jumpserver。是一份很完整的指导性文档。
JumpServer堡垒机系统搭建
01-02
jumpserver3.0.tar.gz搭建过程,实践过的,绝对好用!!!
天融信堡垒机使用手册和代理客户端
03-16
《天融信堡垒机使用手册和代理客户端》 在IT安全管理领域,堡垒机扮演着至关重要的角色,它主要用于实现对网络设备、服务器等资产的集中管理和审计,确保系统的安全性和合规性。天融信作为国内知名的网络安全解决...
堡垒主机应用发布服务器配置
05-26
在应用发布服务器部署中,镜像方式部署需要从 SANGFOR 技术支持渠道获取 2012 应用发布搭建镜像,并进行部署安装。域控方式手动配置部署需要安装 isompAPP1.0.0.2.exe 控件,并配置 DNS 服务器地址、打开 windows ...
自己搭建简易堡垒机实现审计功能
运维打怪晋级之路
05-15 1807
1、堡垒机介绍 在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段限制用户的到来,以及实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责; 2、堡垒机具备条件 具备堡垒机的条件是,该机器有公司和私网,其中私网和机房其他机器互通;我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。 3、使用软件实现跳板机 跳板机主要可以记录用户登录信息以及执行的命令,同时跳板机只有ssh的命令权限,我们使用ja
搭建jumpserver堡垒机
weixin_30826095的博客
09-05 693
(1).跳板机和堡垒机概述   跳板机属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机的缺点是没有实现对运维人员操作行为的控制和审计,出现误操作或违规操作难以定位到原因和责任人;并且跳板机存在严重的安全风险,如果跳板机系统被攻入,则后端资源完全暴露无遗。对于...
三分钟搭建开源堡垒机JumpServer
yaodunlin的博客
12-28 2878
一、简介 前面我们聊到了openvpn的部署和使用,它能够实现从互联网通过openvpn连接到公司内网服务器,从而进行远程管理;但openvpn有一个缺点它不能记录哪些用户在内网服务器上操作了什么,拥有客户端的证书和私钥以及ca的证书和客户端配置,就可以直接连接到公司内网,这从某些角度讲不是一个安全的解决方案; 今天我们来聊一款和openvpn有类似功能的软件jumpserver;jumpserver和openvpn都可以让用户从互联网连接公司内网服务器;但通常jumpserver都不会放在互联网;
牛逼货!一分钟安装部署一套您自己的堡垒机系统,而且还开源了!
程序员闪充宝
12-11 579
大家好,我是宝哥!一、开源项目简介Teleport是一款简单易用的堡垒机系统,具有小巧、易用、易于集成的特点,支持RDP和SSH协议的跳转和管理。Teleport由两大部分构成:跳板核心服务WEB操作界面Teleport非常小巧且极易安装部署:仅需一分钟,就可以安装部署一套您自己的堡垒机系统!!二、开源协议使用Apache-2.0开源协议三、界面展示四、功能概述特点极易部署简洁设计,小巧灵活,无额...
软件工具:搭建简易堡垒机
码农架构
09-11 1642
1 什么是堡垒机 堡垒机,是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的***和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。运维堡垒机的理念起源于跳板机。2000年左右,高端行业用户为了对运维人员的远程登录进行集中管理,会在机房里部署跳板机。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器
堡垒机安装搭建实例
热门推荐
建伟博客
06-29 2万+
运维堡垒机----Gateone简介:参考:https://www.cnblogs.com/caoxiaojian/p/5146789.html运维堡垒机的理念起源于跳板机。2000年左右,高端行业用户为了对运维人员的远程登录进行集中管理,会在机房里部署跳板机。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机并没有实现对运...
Linux搭建jumpserver
06-02
"本文档详细介绍了如何在Linux环境中,特别是以CentOS 7.5为例,搭建开源堡垒机JumpServer。JumpServer是一个功能强大的堡垒机解决方案,提供了丰富的系统功能,适用于替代传统硬件堡垒机,且在性能上具有显著优势。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值