一、前景介绍

  到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的功能属性中的其中一项而已,下面我就给大家介绍一下堡垒机的重要性,以帮助大家参考自己公司的业务是否需要部署堡垒机。

堡垒机有以下两个至关重要的功能:

1.权限管理

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

  1. 设想你们公司有300台Linux服务器,A开发人员需要登录其中5台WEB服务器查看日志或进行问题追踪等事务,同时对另外10台hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5台web服务器,并且同时允许他以管理员的身份登录另外10台hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限

  2. 目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

  其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。

  在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

  1. 允许A开发人员通过普通用户登录5台web服务器,通过root权限登录10台hadoop服务器,但对其余的服务器无任务访问权限

  2. 多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

2.审计管理

  审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。

3.堡垒机架构

  堡垒机的主要作用权限控制和用户行为审计,堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统 , 每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权,每个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑,且每个建筑物还有自己的权限访问控制,不同级别的人可以到建筑物里不同楼层的访问级别也是不一样的。还有就是,每个进入城堡的人的所有行为和足迹都会被严格的监控和纪录下来,一旦发生犯罪事件,城堡管理人员就可以通过这些监控纪录来追踪责任人。

堡垒要想成功完全记到他的作用,只靠堡垒机本身是不够的, 还需要一系列安全上对用户进行限制的配合,堡垒机部署上后,同时要确保你的网络达到以下条件:

  • 所有人包括运维、开发等任何需要访问业务系统的人员,只能通过堡垒机访问业务系统

    • 回收所有对业务系统的访问权限,做到除了堡垒机管理人员,没有人知道业务系统任何机器的登录密码
    • 网络上限制所有人员只能通过堡垒机的跳转才能访问业务系统
  • 确保除了堡垒机管理员之外,所有其它人对堡垒机本身无任何操作权限,只有一个登录跳转功能
  • 确保用户的操作纪录不能被用户自己以任何方式获取到并篡改  

二、堡垒机功能实现需求

1.业务需求

  1. 兼顾业务安全目标与用户体验,堡垒机部署后,不应使用户访问业务系统的访问变的复杂,否则工作将很难推进,因为没人喜欢改变现状,尤其是改变后生活变得更艰难
  2. 保证堡垒机稳定安全运行, 没有100%的把握,不要上线任何新系统,即使有100%把握,也要做好最坏的打算,想好故障预案

2.功能需求

  1. 所有的用户操作日志要保留在数据库中
  2. 每个用户登录堡垒机后,只需要选择具体要访问的设置,就连接上了,不需要再输入目标机器的访问密码
  3. 允许用户对不同的目标设备有不同的访问权限,例:
    1. 对10.0.2.34 有mysql 用户的权限
    2. 对192.168.3.22 有root用户的权限
    3. 对172.33.24.55 没任何权限
  4. 分组管理,即可以对设置进行分组,允许用户访问某组机器,但对组里的不同机器依然有不同的访问权限  

3.设计表结构

from sqlalchemy import create_engine,Table

from sqlalchemy.ext.declarative import declarative_base

from sqlalchemy import Column, Integer, String,ForeignKey,UniqueConstraint

from sqlalchemy.orm import relationship

from  sqlalchemy.orm import sessionmaker

from sqlalchemy import or_,and_

from sqlalchemy import func

from sqlalchemy_utils import ChoiceType,PasswordType

Base = declarative_base() #生成一个SqlORM 基类

engine = create_engine("mysql+mysqldb://root@localhost:3306/test",echo=False)

BindHost2Group = Table('bindhost_2_group',Base.metadata,

    Column('bindhost_id',ForeignKey('bind_host.id'),primary_key=True),

    Column('group_id',ForeignKey('group.id'),primary_key=True),

)

BindHost2UserProfile = Table('bindhost_2_userprofile',Base.metadata,

    Column('bindhost_id',ForeignKey('bind_host.id'),primary_key=True),

    Column('uerprofile_id',ForeignKey('user_profile.id'),primary_key=True),

)

Group2UserProfile = Table('group_2_userprofile',Base.metadata,

    Column('userprofile_id',ForeignKey('user_profile.id'),primary_key=True),

    Column('group_id',ForeignKey('group.id'),primary_key=True),

)

class UserProfile(Base):

    __tablename__ = 'user_profile'

    id = Column(Integer,primary_key=True,autoincrement=True)

    username = Column(String(32),unique=True,nullable=False)

    password = Column(String(128),unique=True,nullable=False)

    groups = relationship('Group',secondary=Group2UserProfile)

    bind_hosts = relationship('BindHost',secondary=BindHost2UserProfile)

    def __repr__(self):

        return "<UserProfile(id='%s',username='%s')>" % (self.id,self.username)

class RemoteUser(Base):

    __tablename__ = 'remote_user'

    AuthTypes = [

        (u'ssh-passwd',u'SSH/Password'),

        (u'ssh-key',u'SSH/KEY'),

    ]

    id = Column(Integer,primary_key=True,autoincrement=True)

    auth_type = Column(ChoiceType(AuthTypes))

    username = Column(String(64),nullable=False)

    password = Column(String(255))

    __table_args__ = (UniqueConstraint('auth_type', 'username','password', name='_user_passwd_uc'),)

    def __repr__(self):

        return "<RemoteUser(id='%s',auth_type='%s',user='%s')>" % (self.id,self.auth_type,self.username)

class Host(Base):

    __tablename__ = 'host'

    id = Column(Integer,primary_key=True,autoincrement=True)

    hostname = Column(String(64),unique=True,nullable=False)

    ip_addr = Column(String(128),unique=True,nullable=False)

    port = Column(Integer,default=22)

    bind_hosts = relationship("BindHost")

    def __repr__(self):

        return "<Host(id='%s',hostname='%s')>" % (self.id,self.hostname)

class Group(Base):

    __tablename__  = 'group'

    id = Column(Integer,primary_key=True,autoincrement=True)

    name = Column(String(64),nullable=False,unique=True)

    bind_hosts = relationship("BindHost",secondary=BindHost2Group, back_populates='groups' )

    user_profiles = relationship("UserProfile",secondary=Group2UserProfile )

    def __repr__(self):

        return "<HostGroup(id='%s',name='%s')>" % (self.id,self.name)

class BindHost(Base):

    '''Bind host with different remote user,

       eg. 192.168.1.1 mysql passAbc123

       eg. 10.5.1.6    mysql pass532Dr!

       eg. 10.5.1.8    mysql pass532Dr!

       eg. 192.168.1.1 root

    '''

    __tablename__ = 'bind_host'

    id = Column(Integer,primary_key=True,autoincrement=True)

    host_id = Column(Integer,ForeignKey('host.id'))

    remoteuser_id = Column(Integer,ForeignKey('remote_user.id'))

    host = relationship("Host")

    remoteuser = relationship("RemoteUser")

    groups = relationship("Group",secondary=BindHost2Group,back_populates='bind_hosts')

    user_profiles = relationship("UserProfile",secondary=BindHost2UserProfile)

    __table_args__ = (UniqueConstraint('host_id', 'remoteuser_id', name='_bindhost_and_user_uc'),)

    def __repr__(self):

        return "<BindHost(id='%s',name='%s',user='%s')>" % (self.id,

                                                           self.host.hostname,

                                                           self.remoteuser.username

                                                                      )

Base.metadata.create_all(engine) #创建所有表结构

if __name__ == '__main__':

    SessionCls = sessionmaker(bind=engine) #创建与数据库的会话session class ,注意,这里返回给session的是个class,不是实例

    session = SessionCls()

    #h1 = session.query(Host).filter(Host.hostname=='ubuntu4').first()

    #hg1 = session.query(HostGroup).filter(HostGroup.name=='t2').first()

    #h2 = Host(hostname='ubuntu4',ip_addr='192.168.1.21')

    #h3 = Host(hostname='ubuntu5',ip_addr='192.168.1.24',port=20000)

    #hg= HostGroup(name='TestServers3',host_id=h3.id)

    #hg2= HostGroup(name='TestServers2',host_id=h2.id)

    #hg3= HostGroup(name='TestServers3')

    #hg4= HostGroup(name='TestServers4')

    #session.add_all([hg3,hg4])

    #h2.host_groups = [HostGroup(name="t1"),HostGroup(name="t2")]

    #h3.host_groups = [HostGroup(name="t2")]

    #h1.host_groups.append(HostGroup(name="t3") )

    #print(h1.host_groups)

    #print("hg1:",hg1.host.hostname)

    #join_res = session.query(Host).join(Host.host_groups).filter(HostGroup.name=='t1').group_by("Host").all()

    #print('join select:',join_res)

    #group_by_res = session.query(HostGroup, func.count(HostGroup.name )).group_by(HostGroup.name).all()

    #print("-------------group by res-----")

    '''

    h1=Host(hostname='h1',ip_addr='1.1.1.1')

    h2=Host(hostname='h2',ip_addr='1.1.1.2')

    h3=Host(hostname='h3',ip_addr='1.1.1.3')

    r1=RemoteUser(auth_type=u'ssh-passwd',username='alex',password='abc123')

    r2=RemoteUser(auth_type=u'ssh-key',username='alex')

    g1 = Group(name='g1')

    g2 = Group(name='g2')

    g3 = Group(name='g3')

    session.add_all([h1,h2,h3,r1,r2])

    session.add_all([g1,g2,g3])

    b1 = BindHost(host_id=1,remoteuser_id=1)

    b2 = BindHost(host_id=1,remoteuser_id=2)

    b3 = BindHost(host_id=2,remoteuser_id=2)

    b4 = BindHost(host_id=3,remoteuser_id=2)

    session.add_all((b1,b2,b3,b4))

    all_groups = session.query(Group).filter().all() #first()

    all_bindhosts = session.query(BindHost).filter().all()

    #h1 = session.query(BindHost).filter(BindHost.host_id==1).first()

    #h1.groups.append(all_groups[1])

    #print("h1:",h1)

    #print("----------->",all_groups.name,all_groups.bind_hosts)

    u1 = session.query(UserProfile).filter(UserProfile.id==1).first()

    print('--user:',u1.bind_hosts)

    print('--user:',u1.groups[0].bind_hosts)

    #u1.groups = [all_groups[1] ]

    #u1.bind_hosts.append(all_bindhosts[1])

    #u1 = UserProfile(username='alex',password='123')

    #u2 = UserProfile(username='rain',password='abc!23')

    #session.add_all([u1,u2])

    #b1 = BindHost()

    session.commit()

    #print(h2.host_groups)

    '''

代码

三、完整代码

https://github.com/triaquae/py3_training/tree/master/%E5%A0%A1%E5%9E%92%E6%9C%BA

Python之路Day13--堡垒机的更多相关文章

  1. Python之路,Day13 - 堡垒机

    项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒 ...

  2. Python之路:堡垒机实例

    堡垒机前戏 开发堡垒机之前,先来学习Python的paramiko模块,该模块机遇SSH用于连接远程服务器并执行相关操作 SSHClient 用于连接远程服务器并执行基本命令 基于用户名密码连接: 1 ...

  3. Python之路:堡垒机实例以及数据库操作

    一.堡垒机前戏 开发堡垒机之前,先学习Python的paramiko模块,该模块基于SSH用于连接远程服务器并执行相关操作. SSHClient 用于连接远程服务器并执行基本命令 基于用户名密码连接: ...

  4. Python 13 简单项目-堡垒机

    本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功 ...

  5. Python之路Day13

    day13主要内容:JavaScript.DOM.jQuery 武Sir blog:http://www.cnblogs.com/wupeiqi/articles/5369773.html JavaS ...

  6. Python之路day13 web 前端(JavaScript,DOM操作)

    参考链接:http://www.cnblogs.com/wupeiqi/articles/5433893.html day13 1. CSS示例 2. JavaScript 3. DOM操作 上节内容 ...

  7. 初学python之路-day13

    一.函数的嵌套定义 # 概念:在一个函数的内部定义另一个函数 # 为什么要有函数的嵌套定义: # 1)函数fn2想直接使用fn1函数的局部变量,可以讲fn2直接定义到fn1的内部,这样fn2就可以直接 ...

  8. Python 之路Day13

    匿名函数 一行函数 lambda == def -- 关键字 lambda x:x x 是普通函数的形参(位置,关键字……)可以不接收参数,可以不写 :x 是普通函数的函数值(只能返回一个数据类型), ...

  9. Python之路【第八篇】:堡垒机实例以及数据库操作

    Python之路[第八篇]:堡垒机实例以及数据库操作   堡垒机前戏 开发堡垒机之前,先来学习Python的paramiko模块,该模块机遇SSH用于连接远程服务器并执行相关操作 SSHClient ...

随机推荐

  1. 基于netty轻量的高性能分布式RPC服务框架forest<下篇>

    基于netty轻量的高性能分布式RPC服务框架forest<上篇> 文章已经简单介绍了forest的快速入门,本文旨在介绍forest用户指南. 基本介绍 Forest是一套基于java开 ...

  2. php阳历转农历的类 谷歌到的

    <?phpclass Lunar {    var $MIN_YEAR = 1891;    var $MAX_YEAR = 2100;    var $lunarInfo = array(   ...

  3. html JS 打开本地程序及文件

    在网页打开本地应用程序示例: 一.在本地注册表自定义协议:以自定义调用Viso为例 1.在HKEY_CLASSES_ROOT下添加项ZVISIO. 2.修改ZVISIO项下的"(默认)&qu ...

  4. 响应者链条,如何获取最佳的点击view 以及内部实现

    事件的产生与传递 事件是如何产生与传递的? 当发生触摸事件后,系统会将该事件加入到一个由UIApplication管理的事件队列中. UIApplication会从时间队列中取出最前面的时间,并将事件 ...

  5. tp框架实现验证码

    今天来看一个小插件. tp框架是怎么实现验证码的. 又到了我们千篇一律的时候了,首先呢,先做一个用来显示的html界面名为:zhuce.html <!DOCTYPE html PUBLIC &q ...

  6. 利用html5、websocket和opencv实现人脸检测

    最近学习人脸识别相关的东西,在MFC下使用OpenCV做了一个简单的应用.训练需要较多的数据,windows应用程序终究还是不方便,于是想着做成CS模式:检测识别都放在服务器端,视频获取和显示都放在网 ...

  7. Runtime解决屏幕旋转问题

    前言 大家或许在iOS程序开发中经常遇到屏幕旋转问题,比如说希望指定的页面进行不同的屏幕旋转,但由于系统提供的方法是导航控制器的全局方法,无法随意的达到这种需求.一般的解决方案是继承UINavrgat ...

  8. WIN7凭据管理器保存的凭据过段时间会自动删除的解决办法

    控制面板\用户帐户和家庭安全\凭据管理器 进入该页面可看到所有凭据

  9. CSS网页制作常用标签

    做了一个简单的网页,从布局到加内容,遇到了很多小问题.很多标签和属性都不会用或者忘记了.所以以此记录一下. 一.如何将边框四角变圆?(或做一个圆形) 顾名思义,如果要更改边框的角需要用到边框(bord ...

  10. 三层架构的OPP实现的演示例子

    例子:演示会员添加与删除 说明:因为是简单的例子,我们用在屏幕上打印"添加成功"和"删除成功"这几个字表示会员的添加与删除,仅仅为了演示如何实现三层的分离: 1 ...