开源堡垒机测试经历---麒麟开源堡垒机篇

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET、SSH、FTP、SFTP已经足够了因此将这套堡垒机已经用于生产环境。

现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享。

我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。

麒麟堡垒机安装条件:

1.      系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来。

2.      系统最低硬件配置为:Intel 64位CPU、4G内存、200G硬盘。(注意:32位CPU装不上)。

安装过程:

麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要任何的干涉(安装过程赞一个,基本上可以给95分)。

过程图如下:

插入光驱进行启动,会到安装界面,在”blj”那里直接回车(PS:如果使用笔记本进行虚机安装,先选择”Install Pcvm”,方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP不够用问题)。

我的硬件物理机为8G内存,普通的E3 单个CPU,2T 串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。

系统配置:

1.      安装过后,系统默认IP为: Eth0  192.168.1.100/24,可以直接使用笔记本配置一个同网段的IP,然后直接连到ETH0上,使用IE输入https://192.168.1.100登录,默认口令为admin/12345678,登录后到系统配置-网络配置-网络配置中,编辑eth0口,将IP地址、掩码、网关修改成自己的,点保存修改,系统会将IP修改为本地IP。

2.  麒麟堡垒机使用的Centos 7.1系统(PS:太新了!),后台登录密码也给了(这个太优越于商用堡垒机了),技术大神可以直接到后台修改IP即可,注意后台 SSH端口为2288,用户名密码为 root/Baoleiji123

3.  系统配置好后,如果你要用图形协议,需要找开发者申请图形的Licenses,如果只用字符的,就可以直接使用了,我这里全是LINUX,因此没有进行Licenses申请,麒麟堡垒机上线我主要做了四步:

建立目录结构—导入堡垒机帐号(主帐号)—导入服务器帐号(从帐号)—主从帐号关联授权,说真的,比商业堡垒机都要好用。

4.  建立目录结构:

目录是类于设备组和用户组,麒麟堡垒机是LDAP结构,组里可以放用户也可以放设备,我觉得这点不方便,我是把用户和设备分别建组,在添加用户、设备时,一定要先加组,因为没有组的话设备和用户加不上。

资源管理-资产管理-目录管理,页签,单击“增加新节点”;根据所要创建的组类型选择“所属目录”与“属性”。

PS:“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。

6.   导入堡垒机帐号(主帐号),菜单-资源管理-资产管理-用户管理中,默认有四个帐号: Admin、Audit、Password、Test,如果帐号少,可以一个一个加,我这里运维人员有40多个,所以我用的导入方式,只要点一下导出就会下来一个CSV 模版,按模版填进去再导回去就行了。

导出后,CSV表只需要填:

用户名:运维人员登录堡垒机时的名称,要求唯一(必须填写)

密码:运维人员登录堡垒机时的密码  (必须填写)

真实姓名:运维人员的真实姓名 (必须填写)

电子邮箱:运维人员的电子邮箱地址(选择填写)

用户权限:统一配置为 普通用户     (必须填写)

组名:目录结构中的资源组名称,如果出现同样名称的资源组,则导入时需要用组名(id)方式:
比如出现重名的first组,如果你想在界面中这个组加入,则组名为first(221)

填好后,把第一行test那行删除,然后点导入菜单,注意:一定要勾上加密!不然导进去用不了。

7. 服务器帐号(从帐号)导入,麒麟堡垒机在导入从帐号时会自动创建服务器,所以只需要在资源管理-资产管理-设备列表中导出一个CSV文件,按文件进行填写,然后导入即可以完成设备、设备帐号的录入:

一般只需要A到H列,后面只要复制模版中的即可,各列说明如下:

主机名:主机的名称

IP:主机的IP地址

服务器组:服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:

系统类型:主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加。

系统用户:系统用户名,如果不想托管,则这项不填。

当前密码:系统播放的密码,如果不想托管,则这项可以不填。

登录协议:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在这些登录方式中选择相应的

端口:登录协议连接的目标端口

过期时间:这个系统帐号的过期时间,如果超过过期时间,则不在允许登录

自动修改密码:是否对这个帐号进行自动修改密码(默认为否)

主帐号:自动修改密码时只使用一个帐号登录修改主机上所有的用户密码,如果是主帐号,则填是,主帐号一般为root权限或可以sudo 为root

自动登录:默认填是

堡垒机用户:均填否

Sftp用户:如果是SSH服务,则设置这个SSH用户是否可以使用SFTP服务,是为允许,否为不允许

公私钥用户:如果是SSH服务,设置这个SSH用户认证是不是使用公私钥方式,是或否

填好后点导入按钮导回,注意,也一定要勾上加密

9.系统授权,堡垒机帐号(主帐号)、主机系统帐号(从帐号)导入完成后,需要进行赋权操作,赋权后堡垒机帐号(主帐号)登录到堡垒机才能跳转到相应的设备。

赋权操作如果一个堡垒机帐号(主帐号)有大量从帐号的权限,则赋权是在系统用户组菜单完成的,如果为堡垒机帐号(主帐号)临时添加一个从帐号的赋权,则也可以在主机设备帐号菜单中完成。

赋权操作最好按用户组的方式进行赋,即将权限相同的用户放在同一个用户组中,然后为这个用户组创建一个系统用户组,将这些用户拥有权限的主机设备帐号都加到这个组中,然后将这个系统用户组绑定给这个用户组,如果每个用户的权限都不一样,也可以为单独的用户划分系统用户组后进行授权。

单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“添加新组”;填写“系统用户组”名,选中“未选设备”中系统用户添加到“已选设备”,确定已经选中想要赋权的堡垒机用户组的所有系统帐号后,点击“保存”;

单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“操作”栏中“授权”,勾选“授权组”或“授权用户”,配置完成单击“保存修改”;

授权后,组中的用户或被授权的用户,就拥有了这个系统用户组中所有的主机系统帐号的权限。

到此,堡垒机的设置就完成了,下面说一说我的心得

堡垒机对于运维人员有几个好的地方:

1.麒麟堡垒机的插件支持任何浏览器(我测试的商业版本,FIREFOX和CHROME只能使用JAVA方式);

2.麒麟堡垒机有一个透明登录的功能非常好用,就是在设置好权限后,在列表导出里导出SECRECRT的列表,然后导到CRT的SESSIONS目录,在登录设备时,是直接登录,根本感觉不到堡垒机的存在,这个功能必须要赞。

时间: 2024-10-24 05:56:29

开源堡垒机测试经历---麒麟开源堡垒机篇的相关文章

开源堡垒机应急手册---麒麟开源堡垒机

1 应急处理部署堡垒机后用户对设备的运维操作均需通过堡垒机进行,以确保访问行为安全.可审计.而堡垒机应急处理方式主要取决于实施过程所采用的访问控制方式.堡垒机在推广使用过程中一般有两种访问控制方式分别是1.口令修改方式2.网络ACL方式(网络ACL设备为VPN设备及交换机)下面就对以上两种方式的应急处理进行简单的说明.1.1 采用口令修改访问控制方式时的应急为确保所有设备维护人员必须通过堡垒机访问设备,通用做法之一就是将相应的设备账号口令进行修改,正确设备口令均存储在堡垒机中,堡垒机会定期的将所

开源堡垒机安装测试上线部署详解-----麒麟开源堡垒机

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,telnet.ssh.ftp.sftp已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写为文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

麒麟开源堡垒机安装部署测试及优缺点总结

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET.SSH.FTP.SFTP已经足够了因此将这套堡垒机已经用于生产环境. 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享. 我测试的其它开源堡垒机基本上还是半成品,麒麟堡

麒麟开源堡垒机与商业堡垒机功能对比

近期因为公司上堡垒机,前期花2个月左右的时间进行调研测试,测试了5款商业堡垒机,后来又测试了开源堡垒机麒麟开源堡垒机和JumpServer,因此得到了一些心得,对堡垒机的整体功能列表.各家堡垒机的优缺点有了一些了解,本文对这些心得进行总结,以功能.使用.成本等角度对商业堡垒机和开源堡垒机进行比较. 商业堡垒机一共测试了5家左右,感觉功能整体上都差不多,目前堡垒机已经进行产品成熟期,产品同化严重,只是某此厂家做的细节的,有一些厂家做的细节不好而已. 开源堡垒机一共测试了2家,一家是麒麟开源堡垒机,

麒麟来源堡垒机设计原理

1序言 运维堡垒机,主要功能为认证.授权.审计,而各厂商又略有不同,麒麟开源堡垒机是一套完整的开源堡垒机系统,具有通用商业堡垒机一切功能模块,安装便利,运用简单,功能全面.易用性都与商业硬件堡垒机完全一样. 2堡垒机的概念和品种   堡垒机从运用拓朴上说,分为两种. 2.1网关型堡垒机 一般选用二层透明桥方法接入网络,一般拓朴方位在运维用户前方,运维用户做运维时,流量经过网关堡垒机,堡垒机对用户的操作进行审计.这种堡垒机曾经在2012年前在国外的一些厂商从么设计,国内厂商很少有这么设计.因为这种

AAA功能部署和测试----麒麟开源堡垒机功能篇之二

AAA服务器在网络管理方面主要用于服务器.网络设备的认证,比如我们常用的CISCO ACS系统,通过 AAA服务器可以把登录设备的帐号统一到AAA系统上进行管理! 另外AAA系统还可以授权记帐,TACACS协议可以限制用户登录设备的级别.可执行的命令,但是RADIUS协议只能限制用户登录的级别,RADIUS协议没有CMD属性,无法限制命令. 堡垒机一般又叫小4A,是集认证.授权.审计.分析与一体的安全设备,我前期测试过多个厂商的堡垒机部分堡垒机有3A功能,这样的好处是可以把网络设备的帐号集中管理

堡垒机-麒麟开源堡垒机苹果 Mac支持版本发布

近日,麒麟开源堡垒机团队开发测试了支持Mac OS苹果操作系统的Web插件,苹果系统用户可以直接和Windows用户一样,登录到Web平台,使用点击的方式调动运维工具并且登录到目标系统进行操作运维. Mac OS插件支持ssh.telnet.rdp.vnc.x11.sftp.ftp.应用发布等所有协议. 注:麒麟开源堡垒机,为一个开源的堡垒机系统,目前系统主要功能如下: 1.支持资产管理,可以管理设备.帐号资产 2.支持单点登录,用户通过堡垒机帐号,在登录设备帐号时不需要输入密码 3.支持授权操

堡垒机-麒麟开源堡垒机 v1.31 版本发布

麒麟开源堡垒机团队经过努力,发布了V1.31版本,版本最主要的功能为内嵌了网管监控功能,可以在公司官网下载使用,网管部分代码包含在发布的ISO中. 堡垒机内嵌网管模块可以让管理员在登录堡垒机时即可以看到主机系统运行情况,不需要在登录网管系统查看系统运行状态. V1.31版本网管模块主要功能包括: 1.支持标准的SNMPV2协议,可以对Linux.Unix.Windows.h3c.cisco.华为等系统进行CPU.内存.存贮.网络接口流量进行抓取,并且将数据存贮在RRD图中,任何时候可以查看1小时

堡垒机-麒麟开源堡垒机 V 1.3 正式发布

麒麟开源堡垒机团队经过1个月的努力,发布V 1.3版本,本版本主要收集了5月开发的小功能,并且增加了大用户量.大设备量,纵深目录层级的优化支持,产品 V1.3 光盘主要新增功能如下(相对 V1.2光盘) 1.增加苹果MAC OS系统客户端的WEB访问支持 2.增加CA认证支持,内置CA证书 3.增加ssh 公私钥认证方式中,私钥中有密码的支持 4.增加安装时小内存(2g)的选项支持 5.增加大客户高性能索引支持,目前某银行上线1.5万台机器 .600个用户.6级目录共计470多个目录分级,经过优