堡垒机介绍
•
在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
•
我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。
•
比较优秀的开源软件
jumpserver
,认证、授权、审计、自动化、资产管理。
•
商业堡垒机:齐治
,
Citrix XenApp
搭建简易堡垒机
•
jk_jailuser
-m -j /home/jail zhangsan
•
具备堡垒机的条件是,该机器有公司和私网,其中私网和机房其他机器互通
•
设计堡垒机思路
•
跳板机安全设置(
iptables
端口限制、登录限制
sshd_config
)
•
用户、命令权限限制(
jailkit
)
http://blog.chinaunix.net/uid-28310119-id-3503318.html
•
客户机器日志审计
•
http://www.68idc.cn/help/server/linux/2014042190951.html
搭建简易堡垒机 – jailkit chroot
•
wget
https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
•
tar
jxvf
jailkit-2.19.tar.bz2
•
cd jailkit-2.19
•
./configure && make && make install
•
mkdir /home/jail
将部分命令拷贝到虚拟目录里
•
jk_init
-v -j /home/jail/
basicshell
•
jk_init
-v -j /home/jail/ editors
•
jk_init
-v -j /home/jail/
netutils
•
jk_init
-v -j /home/jail/
ssh
•
mkdir
/home/jail/
usr
/
sbin存放虚拟系统的shell
•
cp
/
usr
/
sbin
/
jk_lsh
/home/jail/
usr
/
sbin/jk_lsh
• useradd zhangsan
• passwd zhangsan
•
vim /home/jail/
etc
/
passwd
//
把
zhangsan
那一行的
/
usr
/
sbin
/
jk_lsh改为/bin/bash
测试登录
设置只允许密钥登录
添加iptables 规则限制不需要的端口
限定登录源IP段
搭建简易堡垒机
– 日志审计
•
以下操作是需要在所有被登录机器上做的
•
mkdir
/
usr
/local/records
•
chmod
777 !$
•
chmod +t !$
•
vi /
etc
/profile //在最下面
添加
if [ ! -d /usr/local/records/${LOGNAME} ]
then
mkdir -p /usr/local/records/${LOGNAME}
chmod 300 /usr/local/records/${LOGNAME}
fi
export HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
新建一个用户
使用跳板机登录并做一些操作
查看命令记录