堡垒机背景[审计系统]

SRE是指Site Reliability Engineer (/运维工程师=运行维护 业务系统)

运维: 维护系统,维护业务,跟业务去走

防火墙: 禁止不必要的访问[直接访问百度DB等],开放业务的访问[百度搜索业务]

VPN:virtual protocol network,[虚拟网络协议],相当于一个秘密通道,该通道对用户不可见,只有有权限的人才能访问业务系统,VPN里面的数据都是加密过的数据。

VPN客户端需要网址和账户才能访问【具体配置由网络工程师负责】。

关于服务器的连接安全:

1. 账户密码只由专人负责【用户能不能登录这个机器?能用什么用户登录这个机器】

2. ssh连接只给特定的管理员

3. 防火墙的限制即可

堡垒机的作用【服务器安全机制】:

1. 用户权限管理: 权限分配混乱

2. 用户行为审计:

堡垒机语言:JAVA,Python的paramiko, ssh[底层C改进] ,GO语言

最好的堡垒机: 齐治科技[Java写的]

开源的跳板机: http://www.jumpserver.org/[底层都是paramiko写的]

本例基于原生态的SSH进行改进,增加了一个记录操作的代码而已

堡垒机的架构及功能需求

用户通过我们的堡垒机连接服务器,堡垒机服务器用来限制用户的权限和后台的行为审计,最大程度的降低用户操作对系统的破坏。

堡垒机的架构分析

权限管理: 【用户能不能登录这个机器?能用什么用户登录这个机器?登录有什么权限?】

权限管理的破解方法:

1. 直接登录服务器,不经过堡垒机系统【运维不知道后台服务器密码,无法登录】

2. 服务器连接显示器,重启服务器进入单用户模式登录【无法制止,但有监控等】

3. 伪端口访问,如果web的80端口未使用,一个伪程序利用80端口,此时外界可以登录该服务器。但无法访问其他服务器【如果有ssh-key的私钥也可以连接的,免密登录】

行为审计:

通过正常途径的访问,完全是可以记录后台行为的

如果通过伪端口进入的服务器,只能追踪到进入后的操作【如果涉及文件上传,则可以通过我们的堡垒机系统来进行上传,系统内保留文件30days也可以】

paramiko模块学习

paramiko模块学习

【更多参考】

审计系统---堡垒机python下ssh的使用

审计系统---堡垒机项目之表结构设计

审计系统---堡垒机项目之环境准备

审计系统---堡垒机项目之用户交互程序开发

审计系统---堡垒机项目之strace追踪ssh

审计系统---堡垒机项目之监测进程脚本

审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

Linux学习---Linux用户审计简单版

审计系统---初识堡垒机180501【all】的更多相关文章

  1. Python之路——堡垒机原理及其简单实现

    1 堡垒机基本概述 其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的 ...

  2. 搭建jumperserver堡垒机管理万台服务器-1

    搭建jumperserver堡垒机管理万台服务器-1 1  Jumpserver堡垒机概述-部署Jumpserver运行环境 2  安装Coco组件 3  安装Web-Terminal前端-Luna组 ...

  3. python 有关堡垒机的那些事

    堡垒机为了保证系统或服务器的安全性,防止运维和开发人员胡乱操作服务器,导致不必要的损失,使用堡垒机来完成对运维和开发人员的授权.用户统一登录堡垒机账号来操作系统或服务器.堡垒机等于成了生产系统的SSO ...

  4. 全球首款完全开源的堡垒机,符合 4A 的专业运维审计系统Jumpserver

    Jumpserver是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统. http://www.jumpserver.org https://github.com/jumpserver/ju ...

  5. 审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

    2018-06-20 时隔一个多月,忘记了之前的所有操作,重拾起来还是听不容易的,想过放弃,但还是想坚持一下,加油. 世界杯今天葡萄牙1:0战胜摩洛哥,C 罗的一个头球拯救了时间,目前有4个射球,居2 ...

  6. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  7. 开源跳板机(堡垒机)系统 Jumpserver安装教程(带图文)

    环境 系统: CentOS 7 IP: 192.168.244.144 关闭 selinux 和防火墙 # CentOS 7 $ setenforce 0 # 可以设置配置文件永久关闭 $ syste ...

  8. 最新开源跳板机(堡垒机)系统 Jumpserver介绍

    Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统. Jumpserver 使用 Python / Django 进行开发,遵 ...

  9. 运维堡垒机(跳板机)系统 python

    相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能. A ...

随机推荐

  1. C++中模板与泛型编程

    目录 定义一个通用模板 模板特化和偏特化 模板实例化与匹配 可变参数模板 泛型编程是指独立与任何类型的方式编写代码.泛型编程和面向对象编程,都依赖与某种形式的多态.面向对象编程的多态性在运行时应用于存 ...

  2. C语言理论知识

    C语言-----理论部分   一:软件开发概述1.程序语言的发展:机器语言-->汇编语言-->高级语言.2.软件开发的基本步骤与方法:分析问题,建立数学模型-->确定数据结构和算法- ...

  3. 反应器(Reactor)模式

    Java NIO非堵塞技术实际是采取反应器模式,或者说是观察者(observer)模式为我们监察I/O端口,如果有内容进来,会自动通知我们,这样,我们就不必开启多个线程死等,从外界看,实现了流畅的I/ ...

  4. ES6 笔记(二)- 总结

        在最近进行的项目中,已经全面使用到ES6,这里对ES6进行整理总结.用得比较多的是带*的内容,这些语法.新增类型.模块调用等从代码量上.可读性上.操作上给项目带来了不少便利.   1.语法 1 ...

  5. LVS负载均衡DR模式部署

    目录: 1. 拓扑图 2. 搭建环境 3. LVS服务器部署 4. 测试 1. 拓扑图     LVS-DR模式采的IP地址全部为外网IP.    本例中IP的设置全部采用临时设置IP的方式,重启后会 ...

  6. 熟悉一下oncontextmenu事件的知识

    定义和使用 只要点击鼠标右键,就触发oncontextmenu事件并打开上下文菜单. 需要注意的是:所有主流浏览器都支持oncontextmenu事件,但其中的contextmenu元素只有FireB ...

  7. Linq in条件查询

    Linq 实现sql中的not in和in条件查询   T-SQL的IN: Select ProductID, ProductName, CategoryID From dbo.Products Wh ...

  8. C# 分页方法

    using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Web; ...

  9. java设计模式-----17、中介者模式

    概念: Mediator模式也叫中介者模式,是由GoF提出的23种软件设计模式的一种.Mediator模式是行为模式之一,在Mediator模式中,类之间的交互行为被统一放在Mediator的对象中, ...

  10. [js常用]文字转化成语音

    使用百度语音接口,实现文字转化成语音播放 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" &qu ...