堡垒机背景[审计系统]

SRE是指Site Reliability Engineer (/运维工程师=运行维护 业务系统)

运维: 维护系统,维护业务,跟业务去走

防火墙: 禁止不必要的访问[直接访问百度DB等],开放业务的访问[百度搜索业务]

VPN:virtual protocol network,[虚拟网络协议],相当于一个秘密通道,该通道对用户不可见,只有有权限的人才能访问业务系统,VPN里面的数据都是加密过的数据。

VPN客户端需要网址和账户才能访问【具体配置由网络工程师负责】。

关于服务器的连接安全:

1. 账户密码只由专人负责【用户能不能登录这个机器?能用什么用户登录这个机器】

2. ssh连接只给特定的管理员

3. 防火墙的限制即可

堡垒机的作用【服务器安全机制】:

1. 用户权限管理: 权限分配混乱

2. 用户行为审计:

堡垒机语言:JAVA,Python的paramiko, ssh[底层C改进] ,GO语言

最好的堡垒机: 齐治科技[Java写的]

开源的跳板机: http://www.jumpserver.org/[底层都是paramiko写的]

本例基于原生态的SSH进行改进,增加了一个记录操作的代码而已

堡垒机的架构及功能需求

用户通过我们的堡垒机连接服务器,堡垒机服务器用来限制用户的权限和后台的行为审计,最大程度的降低用户操作对系统的破坏。

堡垒机的架构分析

权限管理: 【用户能不能登录这个机器?能用什么用户登录这个机器?登录有什么权限?】

权限管理的破解方法:

1. 直接登录服务器,不经过堡垒机系统【运维不知道后台服务器密码,无法登录】

2. 服务器连接显示器,重启服务器进入单用户模式登录【无法制止,但有监控等】

3. 伪端口访问,如果web的80端口未使用,一个伪程序利用80端口,此时外界可以登录该服务器。但无法访问其他服务器【如果有ssh-key的私钥也可以连接的,免密登录】

行为审计:

通过正常途径的访问,完全是可以记录后台行为的

如果通过伪端口进入的服务器,只能追踪到进入后的操作【如果涉及文件上传,则可以通过我们的堡垒机系统来进行上传,系统内保留文件30days也可以】

paramiko模块学习

paramiko模块学习

【更多参考】

审计系统---堡垒机python下ssh的使用

审计系统---堡垒机项目之表结构设计

审计系统---堡垒机项目之环境准备

审计系统---堡垒机项目之用户交互程序开发

审计系统---堡垒机项目之strace追踪ssh

审计系统---堡垒机项目之监测进程脚本

审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

Linux学习---Linux用户审计简单版

审计系统---初识堡垒机180501【all】的更多相关文章

  1. Python之路——堡垒机原理及其简单实现

    1 堡垒机基本概述 其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的 ...

  2. 搭建jumperserver堡垒机管理万台服务器-1

    搭建jumperserver堡垒机管理万台服务器-1 1  Jumpserver堡垒机概述-部署Jumpserver运行环境 2  安装Coco组件 3  安装Web-Terminal前端-Luna组 ...

  3. python 有关堡垒机的那些事

    堡垒机为了保证系统或服务器的安全性,防止运维和开发人员胡乱操作服务器,导致不必要的损失,使用堡垒机来完成对运维和开发人员的授权.用户统一登录堡垒机账号来操作系统或服务器.堡垒机等于成了生产系统的SSO ...

  4. 全球首款完全开源的堡垒机,符合 4A 的专业运维审计系统Jumpserver

    Jumpserver是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统. http://www.jumpserver.org https://github.com/jumpserver/ju ...

  5. 审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

    2018-06-20 时隔一个多月,忘记了之前的所有操作,重拾起来还是听不容易的,想过放弃,但还是想坚持一下,加油. 世界杯今天葡萄牙1:0战胜摩洛哥,C 罗的一个头球拯救了时间,目前有4个射球,居2 ...

  6. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  7. 开源跳板机(堡垒机)系统 Jumpserver安装教程(带图文)

    环境 系统: CentOS 7 IP: 192.168.244.144 关闭 selinux 和防火墙 # CentOS 7 $ setenforce 0 # 可以设置配置文件永久关闭 $ syste ...

  8. 最新开源跳板机(堡垒机)系统 Jumpserver介绍

    Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统. Jumpserver 使用 Python / Django 进行开发,遵 ...

  9. 运维堡垒机(跳板机)系统 python

    相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能. A ...

随机推荐

  1. java-TreeSet进行排序的2种方式

    TreeSet和HashSet的区别在于, TreeSet可以进行排序, 默认使用字典顺序排序, 也可以进行自定义排序 1, 自然排序 2, 比较器排序 自然排序: 1, 需要被排序的类实现Compa ...

  2. java.text包

    JDK在java.text包中,提供了对显示对象格式化的接口.类及异常处理,这里我们只来谈一谈text包中的format类及其子类.其中,最重要的是两个差不多互为“逆运算”的方法format(将某对象 ...

  3. java面试⑦高级部分

    2.6.2说一下Linux下面的一些常用命令 常用: pwd 获取当前路径 cd 跳转到目录 su -u 切换到管理员 ls 列举目录 文件操作命令: 文件 tail 查看 rm -rf 删除 vim ...

  4. 美赛LaTeX急救指南

    目录 1 关于easymcm宏包的基本信息,以及编译系统的若干问题 2 图片.表格.数学公式.网址的处理 3 样式.字体字号.段落的设置 4 目录.交叉引用的相关问题 关于标题不能换行的问题:这里有解 ...

  5. c#调用webservices

    有两种方式,静态调用(添加web服务的暂且这样定义)和动态调用: 静态调用: 使用添加web服务的方式支持各种参数,由于vs2010会自动转换,会生成一个特定的Reference.cs类文件   动态 ...

  6. docker1-安装和使用

    docker安装和使用 一.安装docker 1.1 centos7.2安装docker 环境:centos7.2 安装方法:https://docs.docker.com/engine/instal ...

  7. python分布式爬虫打造搜索引擎--------scrapy实现

    最近在网上学习一门关于scrapy爬虫的课程,觉得还不错,以下是目录还在更新中,我觉得有必要好好的做下笔记,研究研究. 第1章 课程介绍 1-1 python分布式爬虫打造搜索引擎简介 07:23 第 ...

  8. Jsp&Servlet入门级项目全程实录第5讲

    惯例广告一发,对于初学真,真的很有用www.java1234.com,去试试吧! 1.修改功能实现 dao public int gradeAdd(Connection con,Grade grade ...

  9. [日常] Linux使用diff来比较目录

    Linux diff比较两个目录的不同: diff dir1 dir2  -urNaq -a  --text  Treat all files as text. -u  -U NUM  --unifi ...

  10. java 将页面指定区域截图并上传到服务器

    controller层: /** * 上传获取到的收据图片 * @param request * @param data 获取到的图片 * @return */ @RequestMapping(val ...