堡垒机背景[审计系统]

SRE是指Site Reliability Engineer (/运维工程师=运行维护 业务系统)

运维: 维护系统,维护业务,跟业务去走

防火墙: 禁止不必要的访问[直接访问百度DB等],开放业务的访问[百度搜索业务]

VPN:virtual protocol network,[虚拟网络协议],相当于一个秘密通道,该通道对用户不可见,只有有权限的人才能访问业务系统,VPN里面的数据都是加密过的数据。

VPN客户端需要网址和账户才能访问【具体配置由网络工程师负责】。

关于服务器的连接安全:

1. 账户密码只由专人负责【用户能不能登录这个机器?能用什么用户登录这个机器】

2. ssh连接只给特定的管理员

3. 防火墙的限制即可

堡垒机的作用【服务器安全机制】:

1. 用户权限管理: 权限分配混乱

2. 用户行为审计:

堡垒机语言:JAVA,Python的paramiko, ssh[底层C改进] ,GO语言

最好的堡垒机: 齐治科技[Java写的]

开源的跳板机: http://www.jumpserver.org/[底层都是paramiko写的]

本例基于原生态的SSH进行改进,增加了一个记录操作的代码而已

堡垒机的架构及功能需求

用户通过我们的堡垒机连接服务器,堡垒机服务器用来限制用户的权限和后台的行为审计,最大程度的降低用户操作对系统的破坏。

堡垒机的架构分析

权限管理: 【用户能不能登录这个机器?能用什么用户登录这个机器?登录有什么权限?】

权限管理的破解方法:

1. 直接登录服务器,不经过堡垒机系统【运维不知道后台服务器密码,无法登录】

2. 服务器连接显示器,重启服务器进入单用户模式登录【无法制止,但有监控等】

3. 伪端口访问,如果web的80端口未使用,一个伪程序利用80端口,此时外界可以登录该服务器。但无法访问其他服务器【如果有ssh-key的私钥也可以连接的,免密登录】

行为审计:

通过正常途径的访问,完全是可以记录后台行为的

如果通过伪端口进入的服务器,只能追踪到进入后的操作【如果涉及文件上传,则可以通过我们的堡垒机系统来进行上传,系统内保留文件30days也可以】

paramiko模块学习

paramiko模块学习

【更多参考】

审计系统---堡垒机python下ssh的使用

审计系统---堡垒机项目之表结构设计

审计系统---堡垒机项目之环境准备

审计系统---堡垒机项目之用户交互程序开发

审计系统---堡垒机项目之strace追踪ssh

审计系统---堡垒机项目之监测进程脚本

审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

Linux学习---Linux用户审计简单版

审计系统---初识堡垒机180501【all】的更多相关文章

  1. Python之路——堡垒机原理及其简单实现

    1 堡垒机基本概述 其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的 ...

  2. 搭建jumperserver堡垒机管理万台服务器-1

    搭建jumperserver堡垒机管理万台服务器-1 1  Jumpserver堡垒机概述-部署Jumpserver运行环境 2  安装Coco组件 3  安装Web-Terminal前端-Luna组 ...

  3. python 有关堡垒机的那些事

    堡垒机为了保证系统或服务器的安全性,防止运维和开发人员胡乱操作服务器,导致不必要的损失,使用堡垒机来完成对运维和开发人员的授权.用户统一登录堡垒机账号来操作系统或服务器.堡垒机等于成了生产系统的SSO ...

  4. 全球首款完全开源的堡垒机,符合 4A 的专业运维审计系统Jumpserver

    Jumpserver是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统. http://www.jumpserver.org https://github.com/jumpserver/ju ...

  5. 审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

    2018-06-20 时隔一个多月,忘记了之前的所有操作,重拾起来还是听不容易的,想过放弃,但还是想坚持一下,加油. 世界杯今天葡萄牙1:0战胜摩洛哥,C 罗的一个头球拯救了时间,目前有4个射球,居2 ...

  6. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  7. 开源跳板机(堡垒机)系统 Jumpserver安装教程(带图文)

    环境 系统: CentOS 7 IP: 192.168.244.144 关闭 selinux 和防火墙 # CentOS 7 $ setenforce 0 # 可以设置配置文件永久关闭 $ syste ...

  8. 最新开源跳板机(堡垒机)系统 Jumpserver介绍

    Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统. Jumpserver 使用 Python / Django 进行开发,遵 ...

  9. 运维堡垒机(跳板机)系统 python

    相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能. A ...

随机推荐

  1. spring整合elasticsearch之环境搭建

    推荐一个非常好的博客: 点我 // 测试使用docker下启动的es不管用, 在linux下或者windows下运行的es可用 // 进一步测试docker下启动的es链接时, 开启嗅探也链接不上, ...

  2. Linux-(which,whereis,locate,find)

    我们经常在linux要查找某个文件,但不知道放在哪里了,可以使用下面的一些命令来搜索: which  查看可执行文件的位置. whereis 查看文件的位置. locate   配合数据库查看文件位置 ...

  3. libnetwork插件化网络功能

    Docker把网络跟存储这两部分的功能实现都以插件化形式剥离出来,允许用户通过指令来选择不同的后端实现.这也是Docker希望构建围绕着容器的强大生态系统的一些积极的尝试.剥离出来的独立容器网络项目叫 ...

  4. Ceph 存储集群 - 搭建存储集群

    目录 一.准备机器 二.ceph节点安装 三.搭建集群 四.扩展集群(扩容)   一.准备机器 本文描述如何在 CentOS 7 下搭建 Ceph 存储集群(STORAGE CLUSTER). 一共4 ...

  5. 这个PHP无解深坑,你能解出来吗?(听说能解出来的都很秀)

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由horstxu发表于云+社区专栏 1. 问题背景 PHP Laravel框架中的db migration是比较常用的一个功能了.在每个 ...

  6. 使用 Selenium 实现基于 Web 的自动化测试

    (转自http://www.ibm.com/developerworks/cn/web/1209_caimin_seleniumweb/index.html) Selenium 是一个用于 Web 应 ...

  7. Java : 传值or传引用?

    那看看这句经典名言:O'Reilly's Java in a Nutshell by David Flanagan (see Resources) puts it best: "Java m ...

  8. [转]Asp.Net 网站多语言解决方案

    本文转自:https://www.cnblogs.com/FredTang/archive/2013/01/23/2873231.html 最近领导要求实现PMSWeb应用程序的多区域语言的支持,所以 ...

  9. 【1】Singleton模式(单例模式)

    一.单例模式的介绍 说到单例模式,大家第一反应应该就是--什么是单例模式?从“单例”字面意思上理解:一个类只有一个实例.所以单例模式也就是保证一个类只有一个实例的一种实现方法罢了(设计模式其实就是帮助 ...

  10. 使用JSON实现分页

    使用JSON实现分页可直接用 Fenye.html <!DOCTYPE html> <html> <head> <title>JSON分页</ti ...