一、運維堡壘機功能需求

? ? ? 服務器運維，對于互聯(lián)網公司，是一個常態(tài)化，剛需的場景，主要使用人員有運維、DBA、開發(fā)、測試，這些人希望能便捷進行服務運維，關注操作體驗；從安全或公司管理層面，希望能做好權限控制和安全審計，關注風險。

? ? ? ?所以開發(fā)出一款易用、易管理、安全性高的的堡壘機，是互聯(lián)網公司的普遍需求，個人用過商用堡壘機、開源堡壘機，目前公司使用的堡壘機效果比較好，特別感謝之前負責堡壘機開發(fā)的同學，下面給大家分享堡壘機使用經驗。

二、堡壘機選擇（開源VS商用）

堡壘機比較

比如我們之前公司使用市面上比較成熟的某堡壘機品牌，使用過程中整體順利，但是最大的問題當自動化能力糟糕，沒辦法跟運維系統(tǒng)結合，比如和資產CMDB聯(lián)動、比如堡壘機工單系統(tǒng)對接自動執(zhí)行，自助操作等，都無法實現(xiàn)。

? ? ? ?所以互聯(lián)網公司，如果有能力，建議在開源堡壘機基礎上二次開發(fā)，下面就介紹我們基于jumpserver上二次開發(fā)的堡壘機。

三、堡壘機架構和設計

在Jumpserver的基礎上增加了基于TOTP的雙因素認證、Windows圖形界面訪問審計、自動化同步CMDB主機、文件導入導出、自動修改密碼等功能。

堡壘機架構圖

主要使用了以下開源軟件：jumpserver、xrdp、vnc-server、rdesktop、recordmydesktop、proftpd、ansible、nginx、mysql等。

1、Jumpserver堡壘機：主體系統(tǒng)

2、Xrdp、vnc-server、rdesktop、recordmydesktop:用于提供遠程桌面服務、錄屏（新版jumpserver已經有支持windows）

3、SFTP服務器：安裝proftpd服務，提供文件上傳下載功能。

4、Ansible:批量推送、批量改密等。

5、Google Authenticator:用于提供谷歌二次動態(tài)口令認證服務。

四、堡壘機主要功能詳細介紹

1、資源創(chuàng)建和初始化

資源初始化

第一步：服務器初始化，創(chuàng)建堡壘機使用的安全用戶

第二步：數(shù)據同步到CMDB

第三步、堡壘機定期從CMDB讀取數(shù)據，創(chuàng)建各類賬號（如運維賬號、程序用戶、日志用戶等，基于ssh公鑰免密），這樣堡壘機就接管了用戶。

2、用戶權限申請

使用用戶郵箱作為賬戶申請，申請完成后，會將用戶的web登錄密碼、密鑰文件、密鑰密碼、谷歌動態(tài)口令導入URL鏈接一并發(fā)送給用戶。

3、用戶權限分配

? ?

? ?針對Linux服務器：使用Jumpserver默認的管理功能，設定用戶組、主機組、用戶賬號三元組進行控制。

Windows跳板機：分配用戶可以訪問的Windows服務器IP。

4、用戶使用

linux服務器：使用ssh密鑰文件和密碼登錄。

Windows服務器：使用web密碼登錄后，選擇需要遠程訪問的服務器，使用Windows賬號密碼登錄。

5、命令控制

一些高危命令，比如rm -rf / 禁止使用。

6、文件導出控制

對于文件的導出，進行嚴格控制，禁止SZ命令，此外Windows跳板機，不允許數(shù)據粘貼出來。

需要導出文件的，通過訪問內網SFTP系統(tǒng)，將數(shù)據上傳到特定目錄后，會自動生成一次性URL鏈接給用戶郵箱，用戶在辦公網通過訪問這個鏈接就可以下載文件。

7、用戶自助管理

堡壘機忘記密碼管理可以自助重置。

Google Authenticator 相關的安卓和iOS APP，由于經常出現(xiàn)手機更換問題，提供了自助生成URL鏈接的功能，方便用戶使用。

8、密碼管理功能

在我們的設計模式中，有一個sudo權限的安全用戶給堡壘機使用，這個不能修改。

其他的用戶堡壘機是通過ssh免登陸管理的，修改這些用戶密碼對業(yè)務應用不會有影響，所以我們設定策略每個月初修改密碼，這些密碼是長位數(shù)隨機的。

修改的密碼會記錄到一個專用的密碼管理系統(tǒng)中，需要申請后，才能查詢到密碼。

9、運維審計

第一是linux記錄的審計，使用jumpserver自身的審計功能，已經比較好了；

第二是Windows操作，主要是錄屏審計，根據用戶和使用時間分割，記錄成文件，方便后期審計。

第三是SFTP導出審計，詳細記錄用戶什么時間導出什么數(shù)據，如果是txt、excel可以預覽，便于安全審計。

五、總結??????????????????????????

Jumpserver是一個非常優(yōu)秀的開源堡壘機系統(tǒng)，我們在這個基礎上，進行了不少的二次開發(fā)，滿足了我們對于密碼二次認證、Windows跳板機和審計、文件導出和審計、密碼管理等需求，經過一年的使用，效果良好。