堡垒机背景[审计系统]

SRE是指Site Reliability Engineer (/运维工程师=运行维护 业务系统)

运维: 维护系统,维护业务,跟业务去走

防火墙: 禁止不必要的访问[直接访问百度DB等],开放业务的访问[百度搜索业务]

VPN:virtual protocol network,[虚拟网络协议],相当于一个秘密通道,该通道对用户不可见,只有有权限的人才能访问业务系统,VPN里面的数据都是加密过的数据。

VPN客户端需要网址和账户才能访问【具体配置由网络工程师负责】。

关于服务器的连接安全:

1. 账户密码只由专人负责【用户能不能登录这个机器?能用什么用户登录这个机器】

2. ssh连接只给特定的管理员

3. 防火墙的限制即可

堡垒机的作用【服务器安全机制】:

1. 用户权限管理: 权限分配混乱

2. 用户行为审计:

堡垒机语言:JAVA,Python的paramiko, ssh[底层C改进] ,GO语言

最好的堡垒机: 齐治科技[Java写的]

开源的跳板机: http://www.jumpserver.org/[底层都是paramiko写的]

本例基于原生态的SSH进行改进,增加了一个记录操作的代码而已

堡垒机的架构及功能需求

用户通过我们的堡垒机连接服务器,堡垒机服务器用来限制用户的权限和后台的行为审计,最大程度的降低用户操作对系统的破坏。

堡垒机的架构分析

权限管理: 【用户能不能登录这个机器?能用什么用户登录这个机器?登录有什么权限?】

权限管理的破解方法:

1. 直接登录服务器,不经过堡垒机系统【运维不知道后台服务器密码,无法登录】

2. 服务器连接显示器,重启服务器进入单用户模式登录【无法制止,但有监控等】

3. 伪端口访问,如果web的80端口未使用,一个伪程序利用80端口,此时外界可以登录该服务器。但无法访问其他服务器【如果有ssh-key的私钥也可以连接的,免密登录】

行为审计:

通过正常途径的访问,完全是可以记录后台行为的

如果通过伪端口进入的服务器,只能追踪到进入后的操作【如果涉及文件上传,则可以通过我们的堡垒机系统来进行上传,系统内保留文件30days也可以】

paramiko模块学习

paramiko模块学习

【更多参考】

审计系统---堡垒机python下ssh的使用

审计系统---堡垒机项目之表结构设计

审计系统---堡垒机项目之环境准备

审计系统---堡垒机项目之用户交互程序开发

审计系统---堡垒机项目之strace追踪ssh

审计系统---堡垒机项目之监测进程脚本

审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

Linux学习---Linux用户审计简单版

审计系统---初识堡垒机180501【all】的更多相关文章

  1. Python之路——堡垒机原理及其简单实现

    1 堡垒机基本概述 其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的 ...

  2. 搭建jumperserver堡垒机管理万台服务器-1

    搭建jumperserver堡垒机管理万台服务器-1 1  Jumpserver堡垒机概述-部署Jumpserver运行环境 2  安装Coco组件 3  安装Web-Terminal前端-Luna组 ...

  3. python 有关堡垒机的那些事

    堡垒机为了保证系统或服务器的安全性,防止运维和开发人员胡乱操作服务器,导致不必要的损失,使用堡垒机来完成对运维和开发人员的授权.用户统一登录堡垒机账号来操作系统或服务器.堡垒机等于成了生产系统的SSO ...

  4. 全球首款完全开源的堡垒机,符合 4A 的专业运维审计系统Jumpserver

    Jumpserver是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统. http://www.jumpserver.org https://github.com/jumpserver/ju ...

  5. 审计系统---堡垒机项目之用户交互+session日志写入数据库[完整版]

    2018-06-20 时隔一个多月,忘记了之前的所有操作,重拾起来还是听不容易的,想过放弃,但还是想坚持一下,加油. 世界杯今天葡萄牙1:0战胜摩洛哥,C 罗的一个头球拯救了时间,目前有4个射球,居2 ...

  6. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  7. 开源跳板机(堡垒机)系统 Jumpserver安装教程(带图文)

    环境 系统: CentOS 7 IP: 192.168.244.144 关闭 selinux 和防火墙 # CentOS 7 $ setenforce 0 # 可以设置配置文件永久关闭 $ syste ...

  8. 最新开源跳板机(堡垒机)系统 Jumpserver介绍

    Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统. Jumpserver 使用 Python / Django 进行开发,遵 ...

  9. 运维堡垒机(跳板机)系统 python

    相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能. A ...

随机推荐

  1. 推荐的bootstrap之 formgroup表单布局样式

    一直没能找到比较好的Form Group样式,直到找到如下样式 转自 https://www.cnblogs.com/jokerjason/p/5721349.html <form class= ...

  2. rails image_tag生成图片标签

    image_tag(source, options={}) Link Returns an HTML image tag for thesource. The source can be a full ...

  3. [CQOI 2018]交错序列

    Description 题库链接 定义长度为 \(n\) 的"交错序列"为:长度为 \(n\) 序列中仅含 \(0,1\) 且没有相邻的 \(1\) .给出 \(a,b\) ,假设 ...

  4. NPOI读取Excel官方demo

    关键代码: 读: HSSFWorkbook hssfworkbook; void InitializeWorkbook(string path) { //read the template via F ...

  5. 009.在C#.NET中使用Froms验证

    原文:https://support.microsoft.com/en-us/kb/301240 (Aty表示本人) 这篇文章演示如何通过数据库,实现Froms验证 必需 Mircosoft Visu ...

  6. Java JDK 配置环境变量

    使用了java也有了两年了,安装了很多次jdk都记不住安装步骤 = =,刚刚又配置了一次,码一下步骤: 1.右击"此电脑" ---> "属性" ----& ...

  7. Java Singleton(单例模式) 实现详解

    什么是单例模式? Intend:Ensure a class only has one instance, and provide a global point of access to it. 目标 ...

  8. CPU执行程序的原理(简化过程)

    前言 看了网上的一些描述CPU执行程序的过程,发现他们涉及到的内容太多了,恨不能把整个CPU的底层结构都拿出来说,这对计算机理论知识匮乏的新人甚至是一些老人都是非常不友好的.这个问题也是当初拦在我面前 ...

  9. php判断是否isPhone、is_weixin

    protected function isPhone(){ $agent = strtolower($_SERVER['HTTP_USER_AGENT']); //pc请求头信息数组 $pc_arr= ...

  10. 高斯消元与期望DP

    高斯消元可以解决一系列DP序混乱的无向图上(期望)DP DP序 DP序是一道DP的所有状态的一个排列,使状态x所需的所有前置状态都位于状态x前: (通俗的说,在一个状态转移方程中‘=’左侧的状态应该在 ...