开源堡垒机安装测试上线部署详解-----麒麟开源堡垒机

近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,telnet、ssh、ftp、sftp已经足够了因此将这套堡垒机已经用于生产环境。

现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写为文档与大家分享。

我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。

麒麟堡垒机安装条件

  1. 系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来
  2. 系统最低硬件为:Intel 64位CPU、4G内存、200G硬盘,注意,32位CPU装不上

安装过程:

麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要做任何的干涉(安装过程赞一个基本上可以给95分),过程图如下:

插入光驱进行启动,会到安装界面,在blj那里直接回车(PS:如果使用笔记本进行虚机安装,先选择install Pcvm,方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP不够用问题)

我的硬件物理机为8G内存,普通的E3 单个CPU,2T 串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。

系统配置:

1. 安装过后,系统默认IP为:   Eth0  192.168.1.100/24,可以直接使用笔记本配置一个同网段的IP,然后直接连到ETH0上,使用IE输入 https://192.168.1.100登录,默认口令为admin/12345678,登录后到系统配置-网络配置-网络配置中,编辑eth0口,将IP地址、掩码、网关修改成自己的,点保存修改,系统会将IP修改为本地IP

2. 麒麟堡垒机使用的Centos 7.1系统(PS太新了),后台登录密码也给了(这个太优越于商用堡垒机了),技术大神可以直接到后台修改IP即可,注意后台 SSH端口为2288,用户名密码为 root/Baoleiji123

3. 系统配置好后,如果你要用图形协议,需要找开发者申请图形的licenses,如果只用字符的,就可以直接使用了,我这里全是LINUX,因此没有进行Licenses申请,麒麟堡垒机上线我主要做了四步

建立目录结构--导入堡垒机帐号(主帐号)------导入服务器帐号(从帐号)--------主从帐号关联授权,说真的,比商业堡垒机都要好用

4. 建立目录结构:

目录是类于设备组和用户组,麒麟堡垒机是LDAP结构,组里可以放用户也可以放设备,我觉得这点不方便,我是把用户和设备分别建的组,在添加用户、设备时,一定要先加组,因为没有组设备和用户加不上

资源管理-资产管理-目录管理 页签,单击“增加新节点”;根据所要创建的组类型选择“所属目录”与“属性”;

PS“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组;,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。

5. 导入堡垒机帐号(主帐号),菜单  资源管理-资产管理-用户管理中,默认有四个帐号admin、audit、password、test,如果帐号少,可以一个一个加,我这里运维人员有40多个,所以我用的导入方式,只要点一下导出就会下来一个CSV 模版,按模版填进去在导回去就行了

导出后,CSV表只需要填

用户名:运维人员登录堡垒机时的名称,要求唯一(必须填写)

密码:   运维人员登录堡垒机时的密码  (必须填写)

真实姓名:运维人员的真实姓名(必须填写)

电子邮箱:运维人员的电子邮箱地址(选择填写)

用户权限:统一配置为普通用户     (必须填写)

组名:目录结构中的资源组名称,如果出现同样名称的资源组,则导入时需要用组名(id)方式,比如出现重名的first组,如果你想在界面中这个组加入,则组名为first(221)

填好后,把头一行test那行删除,然后点导入菜单,注意,一定要勾上加密,不然导进去用不了

7.  服务器帐号(从帐号)导入,麒麟堡垒机在导入从帐号时会自动创建服务器,所以只需要在资源管理-资产管理-设备列表 中导出一个CSV文件,按文件进行填写,然后导入即可以完成设备、设备帐号的录入:

一般只需要A到H列,后面只要复制模版中的即可,各列说明如下:

主机名:主机的名称

IP主机的IP地址

服务器组:服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:

系统类型:主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加

系统用户:系统用户名,如果不想托管,则这项不填

当前密码:系统播放的密码,如果不想托管,则这项可以不填

登录协议:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在这些登录方式中选择相应的

端口:    登录协议连接的目标端口

过期时间:这个系统帐号的过期时间,如果超过过期时间,则不在允许登录

自动修改密码:是否对这个帐号进行自动修改密码(默认为否)

主帐号:自动修改密码时只使用一个帐号登录修改主机上所有的用户密码,如果是主帐号,则填是,主帐号一般为root权限或可以sudo 为root

自动登录:默认填是

堡垒机用户:均填否

Sftp用户:如果是SSH服务,则设置这个SSH用户是否可以使用SFTP服务,是为允许,否为不允许

公私钥用户:如果是SSH服务,设置这个SSH用户认证是不是使用公私钥方式,是或否

填好后点导入按钮导回,注意,也一定要勾上加密

9.系统授权,堡垒机帐号(主帐号)、主机系统帐号(从帐号)导入完成后,需要进行赋权操作,赋权后堡垒机帐号(主帐号)登录到堡垒机才能跳转到相应的设备。

赋权操作如果一个堡垒机帐号(主帐号)有大量从帐号的权限,则赋权是在系统用户组菜单完成的,如果为堡垒机帐号(主帐号)临时添加一个从帐号的赋权,则也可以在主机设备帐号菜单中完成。

赋权操作最好按用户组的方式进行赋,即将权限相同的用户放在同一个用户组中,然后为这个用户组创建一个系统用户组,将这些用户拥有权限的主机设备帐号都加到这个组中,然后将这个系统用户组绑定给这个用户组,如果每个用户的权限都不一样,也可以为单独的用户划分系统用户组后进行授权。

单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“添加新组”;填写“系统用户组”名,选中“未选设备”中系统用户添加到“已选设备”,确定已经选中想要赋权的堡垒机用户组的所有系统帐号后,点击保存;

单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“操作”栏中“授权”,勾选“授权组”或“授权用户”,配置完成单击“保存修改”;

授权后,组中的用户或被授权的用户,就拥有了这个系统用户组中所有的主机系统帐号的权限。

到此,堡垒机的设置就完成了,下面说一说我的心得:

堡垒机对于运维人员有几个好的地方,麒麟堡垒机的插件支持任何浏览器(我测试的商业版本,FIREFOX和CHROME只能使用JAVA方式),另外麒麟堡垒机有一个透明登录的功能非常好用,就是在设置好权限后,在列表导出里导出SECRECRT的列表,然后导到CRT的SESSIONS目录,在登录设备时,是直接登录,根本感觉不到堡垒机的存在,这个功能必须要赞。

时间: 04-04

开源堡垒机安装测试上线部署详解-----麒麟开源堡垒机的相关文章

Nagios服务器端安装部署详解(1)

下载地址如下: http://sourceforge.net/projects/nagios/files/ 具体详细下载地址:http://prdownloads.sourceforge.net/sourceforge/nagios/nagios-4.0.6.tar.gz 1 开始下载: wget http://sourceforge.net/projects/nagios/files/nagios-4.x/nagios-4.0.6/nagios-4.0.6.tar.gz/download?us

测试框架mochajs详解

测试框架mochajs详解 章节目录 关于单元测试的想法 mocha单元测试框架简介 安装mocha 一个简单的例子 mocha支持的断言模块 同步代码测试 异步代码测试 promise代码测试 不建议使用箭头函数 钩子函数 钩子函数的描述参数 异步的钩子函数 全局钩子 延迟启动测试 测试用例TODO 仅执行一个用例集/用例 跳过哪些用例集/用例 重新执行用例 动态生成用例 测试时间 测试超时 用例集执行超时 用例执行超时 钩子函数超时 diff差异比较功能 mocha使用命令和参数 mocha

Windows下安装Resin及配置详解与发布应用

关于Resin的好处,网上介绍了一大堆,小编经不住诱惑,决定试用一下.目前Resin的最新版本为:4.0.40,可以从官网直接下载. 1. 将下载下来的Resin包解压开,会看到一大堆的文件,有一些关键的文件,我们需要了解一下. resin-4.0.40 resin安装目录   --conf/resin.properties 配置属性   --conf/resin.xml 配置文件   --conf/licenses/ 许可信息文件   --conf/keys/ openSSL 秘钥   --w

自动化运维平台之系统自动化安装Cobbler系统使用详解

一.简介 Cobbler是一个快速网络安装linux的服务,而且在经过调整也可以支持网络安装windows.该工具使用python开发,小巧轻便(才15k行python代码),使用简单的命令即可完成PXE网络安装环境的配置,同时还可以管理DHCP.DNS.以及yum仓库.构造系统ISO镜像. Cobbler支持命令行管理,web界面管理,还提供了API接口,可以方便二次开发使用. Cobbler客户端Koan支持虚拟机安装和操作系统重新安装,使重装系统更便捷. 二.cobbler提供的功能 使用

webpack安装配置使用教程详解

webpack安装配置使用教程详解 www.111cn.net 更新:2015-09-01 编辑:swteen 来源:转载 本文章来为各位详细的介绍一下关于webpack安装配置使用教程吧,这篇文章对于不喜欢使用 jspm测试的朋友可以参考一下. webpack 入门 目录 1 安装 webpack2 初始化项目3 webpack 配置4 自动刷新5 第三方库6 模块化7 打包.构建8 webpack 模板我最近大量使用的是 jspm,但因为用它搭建的前端开发环境中,写测试代码非常困难,而项目又

Python安装、配置图文详解

原文地址:http://weixiaolu.iteye.com/blog/1617440 目录: 一. Python简介 二. 安装python 1. 在windows下安装 2. 在Linux下安装 三. 在windows下配置python集成开发环境(IDE) 1. 在Eclipse中安装PyDev插件 2. 配置Python Interpreters 四. 创建Python Project 五. 编写HelloWorld 六. 小结 一. Python简介: Python在Linux.wi

Python安装、配置图文详解(转载)

Python安装.配置图文详解 目录: 一. Python简介 二. 安装python 1. 在windows下安装 2. 在Linux下安装 三. 在windows下配置python集成开发环境(IDE) 1. 在Eclipse中安装PyDev插件 2. 配置Python Interpreters 四. 创建Python Project 五. 编写HelloWorld 六. 小结 一. Python简介: Python在Linux.windows.Mac os等操作系统下都有相应的版本,不管在

安装MACOS操作步骤详解

安装MACOS操作步骤详解 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 关于安装MAC的操作系统其实大家都知道可以让客服帮忙提供软件上的支持,而且苹果客服都很有礼貌呢,而且非常的有耐心.特别感谢她们的帮助,让我对MAC的操作系统的好感度有了大大的提升.起初,我刚刚拿到我的本的时候是去年,因为我压根并不看好笔记本,我到现在也非常喜欢台式机,因为体验度是相当棒的,但是由于工作的原因,可能是要去出差的时候带着个台式机到处跑也不太合适,于是就决定买一个低配的笔记本.刚刚拿到笔记本第

Cacti安装使用&流量监控详解

Cacti安装使用&流量监控详解:一,cacti的安装1 安装RRDToolyum -y install rrdtool启动rrdtool服务并且加入启动列表2 安装snmp支持工具可以yum安装,也可以源码安装, Wget http://sourceforge.net/projects/net-snmp/files/net-snmp/5.6.2.1/net-snmp-5.6.2.1.tar.gz/download[一般yum安装]yum -y install net-snmpyum -y in