谈谈搭建堡垒机的几条原则

原创 2017年12月14日 00:00:00

640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1


总结一下这几年使用堡垒机的经验教训,和大家做一个分享,无论是使用自建堡垒机还是采用一些商用方案,通用的原则是不会变的。希望对大家有所帮助,如果有遗漏的地方,欢迎补充和指教。


原则1:一要建立个人帐号的概念,必须做到一人一个帐号,绝不允许多个人共用个人帐号,更不能允许共同账号登录堡垒机。


原则2:从本机到服务器上每一道防线的安全等级应该是等同的。一定一定不要出现登录跳板机有很强大的管控,但是到了业务服务器上就是人root或者拥有sudo权限类似的情况。


原则3:必须要有操作日志,记录每一条操作或者记录登录到堡垒机后所有的输出。特别是危险的操作,除了直接禁止掉,同时必须要报警出来。


原则4:身份验证,杜绝使用密码登录,建议使用个人token+动态密码的方式。对登录的机器需要做物理验证,身份需要手机动态码验证。


原则5:用户授权,建议结合公司内部CMDB来做到一一对应,不同的岗位对于不同的权限,不建议手动去维护,会出现权限维护不及时。


原则6:网络隔离堡垒机本身只有公司内网才能访问。进一步的,做到环境隔离,例如,生产环境和测试环境隔离;同时做到业务之间的隔离,不同业务线的机器是不能相互访问。


原则7:高可用,堡垒机本身的高可用需要重点关注,做好定时备份和应急处理,报警机制必须要有,需要运维专人专岗来维护。



扫描二维码或手动搜索微信公众号【架构栈】: ForestNotes

欢迎转载,带上以下二维码即可

                     640?wx_fmt=jpeg

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xiedongsheng/article/details/78809101

堡垒机开发实战(运维必备)

-
  • 1970年01月01日 08:00

jumpserver 堡垒机环境搭建(图文详解)

Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。 特点: 完全开源,GPL授权  Python编写...
  • my_bai
  • my_bai
  • 2017-03-15 15:28:10
  • 17629

Ajaxterm + nginx 实现一个简单的堡垒机

首先感谢老男孩提供Ajaxterm修改本,他修改了Ajaxterm中ajaxterm.py,使得Ajaxterm 能记录历史命令,该记录保存在Ajiaxterm目录当中。 原理:Ajaxterm ...
  • zhang19771105
  • zhang19771105
  • 2016-01-11 15:52:54
  • 949

Jumpserver堡垒机问题及解决办法

Centos 7.4 mini 重启宿主机后的问题及解决办法:    一、重启宿主机后docker容器死掉~               指令:docker ps(查看容器)         ...
  • zhao1955
  • zhao1955
  • 2017-12-09 19:34:16
  • 789

给自己的原则

      实习大半年,然后又经过这一个月的闲看,更加的意识到了我怎么才能更好的走下去了。        从实习结束一来的一个月,计划是对以前来个review,然后练一下内功,进而找下一份实习或者工作...
  • pku_bronco
  • pku_bronco
  • 2008-05-31 14:43:00
  • 233

guacamole搭建,一个基于HTML5的VNC远程桌面

Guacamole是一个远程桌面的代理,它本身并没有实现VNC Server的功能. 个人理解它更像是一个VNC Viewer,或者说VNC Client的代理. 基本原理是这样的,看下面这个图: ...
  • redstarofsleep
  • redstarofsleep
  • 2015-04-17 09:02:50
  • 7328

云盾堡垒机是什么?它有哪些功能?我公司有必要使用吗?

云盾堡垒机集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现,通过正向代理的方式实现对 SSH 、Windows 远程桌面、及 SFTP 等常见运维协议的数据流进行全程记录,并...
  • zhy97031
  • zhy97031
  • 2017-12-30 14:52:14
  • 275

前端集成解决方案(webpack、gulp)

前端集成解决方案 前端集成解决方案 一、什么是前端集成解决方案 FIS(Front-end Integrated Solution)是专为解决前端开发中自动化工具、性能优化、模块化框架、开发规范、代码...
  • linyeban
  • linyeban
  • 2017-01-10 23:46:57
  • 4238

docker本机启动多台容器导致出现后续容器启动失败

vim /etc/sysctl.conf 添加参数 fs.aio-max-nr = 1048576 sysctl -p
  • wanglei_storage
  • wanglei_storage
  • 2017-09-26 19:12:50
  • 168
收藏助手
不良信息举报
您举报文章:谈谈搭建堡垒机的几条原则
举报原因:
原因补充:

(最多只允许输入30个字)