让运维不再背锅的利器jumpserver堡垒机

由于来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素

都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅。

几种常见的背黑锅场景

1、由于不明身份利用远程运维通道攻击服务器造成业务系统出现异常

但是运维人员无法明确攻击来源,那么领导很生气、后果很严重

2、只有张三能管理的服务器,被李四登录过并且做了违规操作

但是没有证据是李四登录的,那么张三只能背黑锅了。

3、运维人员不小心泄露了服务器的密码。一旦发生安全事故,那么后果不堪设想。

4、某服务器的重要数据被窃。但是数据文件无法挽回,那么面临的是无法估量的经济损失

背黑锅的原因

其实运维工作,出现各种问题是在所难免的
不仅要有很好的分析处理能力,而且还要避免问题再次发生。要清楚认识到出现问题的真实原因:

1、没有规范管理,人与服务器之间的界限不清晰

2、没有实名机制,登录服务器前没有实名验证

3、没有密码托管,服务器的密码太多,很难做到定期修改,自己保管怕丢失

4、没有操作预警,对高危、敏感的操作无法做到事前防御

5、没有传输控制,对重要服务器无法控制文件传输

6、没有回溯过程,不能完整还原运维过程

解决背黑锅的必杀技

作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技。

1、统一入口、规范管理

提供统一入口,所有运维人员只能登录堡垒机才能访问服务器,梳理“人与服务器”之间的关系,防止越权登录

2、利用手机APP动态口令等验证机制

采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制

防止密码被暴力破解,解决访问身份模糊的问题

3、托管服务器密码,实现自动改密

通过堡垒机定期自动修改服务器的密码,解决手工修改密码、密码泄露和记住密码的烦恼。

1、可自动修改Windows、Linux、Unix、网络设备等操作系统的密码

2、可以设置周期或指定时间执行改密任务

3、可设定密码的复杂度、随机密码、指定密码、固定密码格式等

4、可通过邮件、SFTP、FTP方式自动发送密码文件给管理员

5、提供密码容错机制:改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等

4、事中控制,防止违规操作

作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技。

1、通过命令控制策略,拦截高危、敏感的命令

2、通过命令审核策略,审批需要执行但又不能随意执行的命令

3、通过文件传输控制策略,防止数据、文件的泄露

5、精细化审计,追溯整个运维过程

堡垒机要做到文件记录、视频回放等精细化完整审计,快速定位运维过程:

1、不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户

来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录。

2、还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件

为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据。

下面就说说堡垒机的具体安装部署

Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能

基于ssh协议来管理,客户端无需安装agent

特点:

完全开源,GPL授权
python编写,容易再次开发
实现了跳板机基本功能,认证、授权、审计
集成了Ansible,批量命令等
支持WebTerminal
Bootstrap编写,界面美观
自动收集硬件信息
录像回放
命令搜索
实时监控
批量上传下载



jumpserver 3.0 安装

相对于 jumpserver 2.0 版本,在新的版本 3.0 中取消了LDAP授权,取而代之的是ssh进行推送;界面也有所变化

功能更完善,安装更简单,不像 2.0 的版本,难住了好多人。下面通过两台主机来搭建 jumpserver堡垒机!

环境:
Centos 6.5 x86_64
关闭 iptables,关闭 selinux
jumpserver:192.168.1.200
clients:192.168.1.210
ps:操作只针对 jumpserver,clients 不会进行操作,只是环境需求。

一、安装依赖包
yum -y install epel-release
yum clean all && yum makecache
yum -y update
yum -y install Git python-pip MySQL-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel

二、下载 jumpserver  
cd /opt
git clone https://github.com/jumpserver/jumpserver.git
注: 如果下载失败,则去github上面下载zip包,unzip解压缩即可

三、执行快速安装脚本
cd /opt/jumpserver/install

pip install -r requirement.txt

查看安装的包
pip freeze

python install.py
输入jumpserver的地址,默认为:”192.168.1.200”,回车即可。
是否安装mysql:选择”y”进行安装

MySQL 启动后会要求用户输入 邮件服务器及账户

(后期用来发送用户名、ssh pass、web pass、ssh key)

输入smtp信息之后发现报错了,是python的pycrypto模块问题,需要卸载重装:
pip uninstall pycrypto
easy_install pycrypto

安装之后继续 python install.py 进行安装,并且输入 web管理员用户名和管理员密码,ok

四、运行 crontab

定期处理失效连接,定期更新资产信息
cd /opt/jumpserver
python manage.py crontab add

注:
1)根据提示输入相关信息,完成安装,安装完成后,请访问web,继续查看后续文档
2)如果启动失败,请返回上层目录,手动运行 ./service.sh start 启动
3)如果 ./service.sh start 启动失败

cd /opt/jumpserver
python manage.py runserver 0.0.0.0:80  
python run_websocket.py

4)如果启动失败,可能是由于80端口和3000端口已经被占用,或者数据库账号密码不对,请检查

五、Web登录
http://192.168.1.200

注意:
在使用jumpserver过程中,有一步是系统用户推送,要推送成功,client(后端服务器)要满足以下条件:
1)后端服务器需要有python、sudo环境才能使用推送用户,批量命令等功能
2)后端服务器如果开启了selinux,请安装libselinux-python

六、更新代码
cd /opt/jumpserver
git pull

时间: 2024-10-07 00:34:47

让运维不再背锅的利器jumpserver堡垒机的相关文章

程序员客栈与DaoCloud,让企业运维不再是难题

2017年1月11日 ,程序员客栈与DaoCloud正式建立合作伙伴关系,为创业企业和团队提供容器应用解决方案.通过与DaoCloud合作,客栈可以更有效地把控开发环节中的不确定因素,解决项目工期不确定性的难题; 同时通过规范项目开发,全面使用DaoCloud公有云服务,为客户提供更快速的产品迭代技术解决方案.   ▍DaoCloud -- 业界领先的云容器服务商 DaoCloud 是企业级云计算领域的创新领导者,产品线涵盖云原生应用的开发.交付.运维和运营全生命周期,并提供公有云.私有云和混合

超详细:自动化运维之jumpserver堡垒机入门到掌握

测试推荐环境 CPU: 64位双核处理器 内存: 4G DDR3 数据库:mysql 版本大于等于 5.6 mariadb 版本大于等于 5.5.6 环境 系统: CentOS 7 IP: 192.168.0.230 设置 selinux 和防火墙 [root@web1 ~]# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopbac

Mysql DBA 高级运维学习笔记-一主多从宕机从库切换主继续和从库同步过程

1.主库master 宕机 登录从库show processlist\G 看两个线程的更新状态 mysql> show processlist\G *************************** 1. row *************************** Id: 1 User: system user Host: db: NULL Command: Connect Time: 22997 State: Waiting for master to send event Info:

聊聊运维(1)证明你是坏运维的七个迹象,不要做CPR运维

大部分运维都有迷茫的阶段 干上几年运维,肯定感到迷惑和彷徨,因为运维是一个要求沉下心来了,不断精益求精的职业,而当下的大背景是浮躁,运维不是小鲜肉,明显是一个收益低,见效慢的职业. 运维有没有前途? 论职位,在一般企业最高级别到中层: 论收入,在任何企业肯定不会超过核心业务部门员工收入: 论压力,出现问题,永远是运维在背锅,因为不管什么起因,最终的操作都是运维. 所以浮躁的运维也非常多,浮躁的运维通常有以下七个迹象之一: 一 从不或者很少备份 数据是企业运行的基石,备份是使自己处于不败之地的终极

CPR式的IT运维管理,我们不要!

什么是CPR式的IT运维管理?CPR(Cardiopulmonary Resuscitation),是医学术语"心肺复苏"的简称,是指心搏骤停一旦发生,就必须立即在现场进行心肺复苏CPR,以挽救患者的生命. 想想我们的IT运维场景,是不是也会经常出现IT运维式的CPR呢?当客户先于我们发现运维事件时,我们的运维人员除了迅速变身为IT医生,前往现场实施CPR式的运维处理外,剩下的就只有尴尬和忐忑了. 作为一个IT运维人,闲暇时我总是问自己:从事运维有没有前途? 论职位,在一般企业最高级别

无监控,不运维!运维监控工具平台建设总结

本文摘自微信公众号<高效运维> 运维行业有句话:"无监控.不运维",是的,一点也不夸张,监控俗称"第三只眼".没了监控,什么基础运维,业务运维都是"瞎子".所以说监控是运维这个职业的根本. 尤其是在现在DevOps这么火的时候,用监控数据给自己撑腰,这显得更加必要,有人说运维是背锅侠,那么,有了监控,有了充足的数据,一切以数据说话,运维还需要背锅吗,所以作为一个运维工程师,如何构建一套监控系统是你的第一件工作. 一.常见的运维监控工具

马哥linux运维公开课第三季—《自动化运维之jumpserver跳板机剖析》

运维2.0时代同时也代表着DevOps的时代,越来越多的人关注自动化运维,但是大家有没有想过,自动化运维如何来,作为运维的我们又该如何使用现有的工具去实现自动化运维,本周六晚八点半,就由jumpserver跳板机的创作团队为大家分享下如何使用开源工具来实现一个自动化运维框架的细节. 公开课官方群:339184057 ### jumpserver跳板机的官网信息 官网: http://www.jumpserver.org demo: http://demo.jumpserver.org 更新log

运维审计

定义 运维审计系统即通常所说的堡垒机,用于组织(如企业或政府机构)内部数据安全的一种监管系统. 目的 身份认证.授权管理.访问控制.运维审计. 法律依据 发展历程 部署方案 常见功能 采用统一入口,集中化运维管理,记录运维人员的权限和操作. 原文地址:http://blog.51cto.com/juispan/2141999

【高效运维篇】如何通过双因子认证保证堡垒机安全访问IT资源

在日常使用堡垒机进行IT运维时,用户使用账户密码登录堡垒机后,即可对其具备权限的IT资源进行相应的操作或访问.而用户的堡垒机账户密码一旦被泄露,意味着无关人员可随意访问具备权限的IT资源,企业数据安全无法保障,后果将不堪设想. 那么,我们怎样做到即使密码泄露了也能保证数据安全呢?双因子认证显然是一种行之有效的手段.双因子验证是一种安全验证过程,被用以控制敏感系统和数据的访问.在这一验证过程中,需要用户提供两种不同的认证因素来证明自己的身份,从而起到更好地保护企业数据安全. 小编在使用行云管家进行