简介:

运维堡垒机的理念起源于跳板机。2000年左右,高端行业用户为了对运维人员的远程登录进行集中管理,会在机房里部署跳板机。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。

但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。

2004年,人们认识到跳板机的不足,提出了以下运维操作管理理念:

理念一:唯有控制才能真正解决问题

审计是事后行为,从来没有事前审计一说

审计可以发现问题,但是无法防止问题发生

只有在事前严格控制,才能从源头真正解决问题

理念二:系统账号无法确认用户身份

系统账号的作用只是区分工作角色

多人共用一个系统账号是合理的

运维人员的流动不应影响系统账号

理念三:人为操作难免会出问题

人有失手,马有失蹄

不怕出问题,就怕出问题找不到原因

只要机器能做的,就不要人做

在这些理念的指引下,2005年前后,奇智科技研发出世界第一台运维堡垒机,自此运维堡垒机以一个独立的产品形态被广泛部署,有效地降低了运维操作风险,使运维操作管理变得更简单、更安全!

同时,首台运维堡垒机的访问代理模式,对运维人员的身份认证、对运维操作的访问控制和审计等功能,都被运维堡垒机产品一直沿用至今。

Gateone

安装部署

直接git下来就行

github地址:

https://github.com/liftoff/GateOne

git clone https://github.com/liftoff/GateOne.git
或者直接wget
wget https://codeload.github.com/liftoff/GateOne/zip/master
unzip master.zip
cd GateOne-master/
python setup.py install 
gateone    # 执行启动命令
# 默认使用443端口

配置文件

[root@linux-node1 ~]# tree /etc/gateone/

/etc/gateone/

├── conf.d

│   ├── 10server.conf

│   ├── 20authentication.conf

│   └── 50terminal.conf

└── ssl

    ├── certificate.pem

    └── keyfile.pem

 

他是可以进行日志回放的,但是他也不是进行视频的录制,而是将他的内容存放到log中,通过javascript的方式展示出来。

下面咱们分析下他是怎么回放的

[root@linux-node1 logs]# cd /usr/lib/python2.7/site-packages/gateone-1.2.0-py2.7.egg/gateone/applications/terminal/

[root@linux-node1 terminal]# ./logviewer.py --flat /var/lib/gateone/users/ANONYMOUS/logs/20160120105930970679-192.168.56.1.golog

其实就是使用上面的那个简本对日志数据进行的回放

gateone还可以嵌入到其他的平台中,嵌入方式如下:

[root@linux-node1 hello_embedded]# ll

total 20

-rw-r--r-- 1 root root 1050 Nov 23 02:26 certificate.pem

-rwxr-xr-x 1 root root 2248 Nov 23 02:26 hello_embedded_world.py

-rw-r--r-- 1 root root 1679 Nov 23 02:26 keyfile.pem

-rw-r--r-- 1 root root  176 Nov 23 02:26 README

drwxr-xr-x 3 root root 4096 Nov 23 02:26 static

[root@linux-node1 hello_embedded]# pwd

/usr/local/src/GateOne-master/gateone/tests/hello_embedded

[root@linux-node1 hello_embedded]# ./hello_embedded_world.py  --address=192.168.56.11

Now listening on https://192.168.56.11:443

这里的端口是可以自己指定的 --port=8888

然后访问

 

 

 

 

 

 

 

 

运维堡垒机----Gateone的更多相关文章

  1. 一次运维-堡垒机多次跳转导出及导入mysql数据库

    1. 场景描述 记录一次运维,朋友公司要从线上环境同步数据到测试环境,因为公司监管问题,导致数据无法从线上获取,需要通过vpn,堡垒机,3次跳转到目标主机,通过命令导出mysql数据文件,然后再将数据 ...

  2. 运维堡垒机(跳板机)系统 python

    相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能. A ...

  3. 齐治运维堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析

    基本信息 引用:https://www.cnvd.org.cn/flaw/show/CNVD-2019-17294 补丁信息:该漏洞的修复补丁已于2019年6月25日发布.如果客户尚未修复该补丁,可联 ...

  4. 开源堡垒机GateOne的安装、配置笔记

    因为内部临时需要这么一套系统,所以搜搜查查,搞定了系统部署,使用pam认证的配置. 系统初始化是使用CentOS 6.5 Mini x64版本.   首先exports http_proxy和http ...

  5. 开源堡垒机Gateone 安装过程记录及报错处理

    1.下载git源码或者zip包都可以,下载到我们制定部署目录. git地址:https://github.com/liftoff/GateOne.git 2.检查tornado 版本,安装tornad ...

  6. Python之路-python(堡垒机)

    运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的 ...

  7. day11 堡垒机

    项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒 ...

  8. Python之路,Day12 - 那就做个堡垒机吧

    Python之路,Day12 - 那就做个堡垒机吧   本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多 ...

  9. Day12 - 堡垒机开发

    Python之路,Day12 - 那就做个堡垒机吧   本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多 ...

随机推荐

  1. maven拓展——使用tomcat插件运行maven项目

    首先,在pom.xml中配置插件: <build> <plugins> <plugin> <groupId>org.apache.tomcat.mave ...

  2. 2017-2018-1 20155327 《信息安全系统设计基础》课堂测试&课下作业

    2017-2018-1 20155327 <信息安全系统设计基础>课堂测试&课下作业 学习使用stat(1),并用C语言实现 提交学习stat(1)的截图 man -k ,grep ...

  3. sql语句-6-高级查询

  4. High Water Mark 图示

    +---- high water mark of newly created table | V +-------------------------------------------------- ...

  5. SRM 698 div1 RepeatString

    250pts RepeatString 题意:问最少修改多少次将一个字符串修改为AA的形式.可以插入一个字符,删除一个字符,修改字符. 思路:枚举分界点,然后dp一下. /* * @Author: m ...

  6. (三)SpringBoot2.0基础篇- 持久层,jdbcTemplate和JpaRespository

    一.介绍 SpringBoot框架为使用SQL数据库提供了广泛的支持,从使用JdbcTemplate的直接JDBC访问到完整的“对象关系映射”技术(如Hibernate).Spring-data-jp ...

  7. MSP-EZ430U_02板子测试使用

    1. 实物如下 2. 先上电,显示驱动没安装 3. 找到驱动的位置,不过实际上安装IAR for msp430之后,驱动就自动的识别了.

  8. 【转】ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.1.165' (113)

    原文转自:http://blog.csdn.net/chengyuqiang/article/details/54285857 1.程序报错: com.mysql.jdbc.exceptions.jd ...

  9. avaweb(三十二)——JDBC学习入门

    一.JDBC相关概念介绍 1.1.数据库驱动 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡 ...

  10. php开发文章发布示例(正则表达式实例开发)

    存档: post.php <form method="post" action="viewthread.php" target="_blank& ...