项目概述
堡垒机主要有两个功能:
权限管理
当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:
-
设想你们公司有300台Linux服务器,A开发人员需要登录其中5台WEB服务器查看日志或进行问题追踪等事务,同时对另外10台hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5台web服务器,并且同时允许他以管理员的身份登录另外10台hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限
-
目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。
其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。
在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:
-
允许A开发人员通过普通用户登录5台web服务器,通过root权限登录10台hadoop服务器,但对其余的服务器无任务访问权限
-
多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。
审计管理
审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。
堡垒机架构
堡垒机的主要作用权限控制和用户行为审计,堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统 , 每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权,每个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑,且每个建筑物还有自己的权限访问控制,不同级别的人可以到建筑物里不同楼层的访问级别也是不一样的。还有就是,每个进入城堡的人的所有行为和足迹都会被严格的监控和纪录下来,一旦发生犯罪事件,城堡管理人员就可以通过这些监控纪录来追踪责任人。
堡垒要想成功完全记到他的作用,只靠堡垒机本身是不够的, 还需要一系列安全上对用户进行限制的配合,堡垒机部署上后,同时要确保你的网络达到以下条件:
- 所有人包括运维、开发等任何需要访问业务系统的人员,只能通过堡垒机访问业务系统
- 回收所有对业务系统的访问权限,做到除了堡垒机管理人员,没有人知道业务系统任何机器的登录密码
- 网络上限制所有人员只能通过堡垒机的跳转才能访问业务系统
- 确保除了堡垒机管理员之外,所有其它人对堡垒机本身无任何操作权限,只有一个登录跳转功能
- 确保用户的操作纪录不能被用户自己以任何方式获取到并篡改
堡垒机功能实现需求
业务需求
- 兼顾业务安全目标与用户体验,堡垒机部署后,不应使用户访问业务系统的访问变的复杂,否则工作将很难推进,因为没人喜欢改变现状,尤其是改变后生活变得更艰难
- 保证堡垒机稳定安全运行, 没有100%的把握,不要上线任何新系统,即使有100%把握,也要做好最坏的打算,想好故障预案
功能需求
- 所有的用户操作日志要保留在数据库中
- 每个用户登录堡垒机后,只需要选择具体要访问的设置,就连接上了,不需要再输入目标机器的访问密码
- 允许用户对不同的目标设备有不同的访问权限,例:
- 对10.0.2.34 有mysql 用户的权限
- 对192.168.3.22 有root用户的权限
- 对172.33.24.55 没任何权限
- 分组管理,即可以对设置进行分组,允许用户访问某组机器,但对组里的不同机器依然有不同的访问权限
设计表结构
表结构图
秘钥登录方式:
示意图(Centos登录Ubuntu)
就是在centos产生一对秘钥(私钥:天王盖地虎,公钥:宝塔镇河妖),并把公钥给服务端。
秘钥生成命令
1.ssh-keygen .ssh/.id_rsa 私钥 .ssh/.id_rsa.pub 公钥2. 把公钥copy到要登录的目标机器上 scp -rp id_rsa alex@192.168.10.35:/home/alex/ #把本地文件copy到远程 scp -rp alex@192.168.10.35:/home/alex/id_rsa /tmp/ #把远程文件copy到本地 查看当前用户id, whoami su - alex 切换用户 cat id_rsa.pub >authorized_keys 读出id_rsa.pub的内容并写入到>后的文件,(覆盖) cat id_rsa.pub >>authorized_keys 读出id_rsa.pub的内容并写入到>后的文件,(追加)3. 在目标机器上,把id_rsa.pub里的key取出写入.ssh/authorized_keys创建表格代码
1 from django.db import models 2 from django.contrib.auth.models import ( 3 BaseUserManager, AbstractBaseUser,PermissionsMixin 4 ) 5 6 # Create your models here. 7 8 9 10 class Host(models.Model): 11 """存储主机列表""" 12 name = models.CharField(max_length=64,unique=True) 13 ip_addr = models.GenericIPAddressField(unique=True) 14 port = models.SmallIntegerField(default=22) 15 idc = models.ForeignKey("IDC") 16 #remote_users = models.ManyToManyField("RemoteUser") 17 18 def __str__(self): 19 return self.name 20 21 class HostGroup(models.Model): 22 """存储主机组""" 23 name = models.CharField(max_length=64,unique=True) 24 #hosts = models.ManyToManyField("Host") 25 host_to_remote_users = models.ManyToManyField("HostToRemoteUser") 26 27 def __str__(self): 28 return self.name 29 30 31 class HostToRemoteUser(models.Model): 32 """绑定主机和远程用户的对应关系""" 33 host = models.ForeignKey("Host") 34 remote_user = models.ForeignKey("RemoteUser") 35 36 class Meta: 37 unique_together = ("host","remote_user") 38 39 40 def __str__(self): 41 return "%s %s"%(self.host,self.remote_user) 42 43 class RemoteUser(models.Model): 44 """存储远程要管理的主机的账号信息""" 45 auth_type_choices = ((0,'ssh-password'),(1,'ssh-key')) 46 auth_type = models.SmallIntegerField(choices=auth_type_choices,default=0) 47 username = models.CharField(max_length=32) 48 password = models.CharField(max_length=64,blank=True,null=True) 49 50 class Meta: 51 unique_together = ('auth_type','username','password') 52 53 54 def __str__(self): 55 return "%s:%s" %(self.username,self.password) 56 57 class UserProfileManager(BaseUserManager): 58 def create_user(self, email, name, password=None): 59 """ 60 Creates and saves a User with the given email, date of 61 birth and password. 62 """ 63 if not email: 64 raise ValueError('Users must have an email address') 65 66 user = self.model( 67 email=self.normalize_email(email), 68 name=name, 69 ) 70 71 user.set_password(password) 72 user.save(using=self._db) 73 return user 74 75 def create_superuser(self, email, name, password): 76 """ 77 Creates and saves a superuser with the given email, date of 78 birth and password. 79 """ 80 user = self.create_user( 81 email, 82 password=password, 83 name=name, 84 ) 85 user.is_superuser = True 86 user.save(using=self._db) 87 return user 88 89 90 class UserProfile(AbstractBaseUser,PermissionsMixin): 91 """堡垒机账号""" 92 email = models.EmailField( 93 verbose_name='email address', 94 max_length=255, 95 unique=True, 96 97 ) 98 name = models.CharField(max_length=64, verbose_name="姓名") 99 is_active = models.BooleanField(default=True)100 is_staff = models.BooleanField(default=True)101 objects = UserProfileManager()102 103 host_to_remote_users = models.ManyToManyField("HostToRemoteUser",blank=True,null=True)104 host_groups = models.ManyToManyField("HostGroup",blank=True,null=True)105 106 USERNAME_FIELD = 'email'107 REQUIRED_FIELDS = ['name']108 109 def get_full_name(self):110 # The user is identified by their email address111 return self.email112 113 def get_short_name(self):114 # The user is identified by their email address115 return self.email116 117 def __str__(self): # __unicode__ on Python 2118 return self.email119 120 121 122 123 124 125 class IDC(models.Model):126 """机房信息"""127 name = models.CharField(max_length=64,unique=True)128 129 class AuditLog(models.Model):130 """存储审计日志"""