假期女儿们不在身边,也不想去看人家,就呆在家里开发了汉堡机。 现在是开源的。 请试试。 使用之前,让我先介绍一下汉堡机的重要性。
到目前为止,很多公司对汉堡机不太感冒,但其实他们还没有充分认识到汉堡机在IT管理中的重要作用。 很多人认为汉堡机是棋盘机,但其实这种认识并不完善。 棋盘功能只是汉堡机具有的功能属性之一。 在这里,我们来参考一下是否需要在自己公司的业务中引入本垒打。
汉堡机有以下两个重要功能。
随着被权限管理嘲笑的馒头公司服务器越来越多,需要操作这些服务器的人一定不仅仅是一个承运人,同时可能还包括多个开发商。 如果这样的人操作业务系统,如果权限分配不当,就会有很大的安全风险。 列举几个场景例子。
假设你的公司有300台Linux服务器。 A开发人员需要登录其中的5台WEB服务器查看日志,并从事问题跟踪等工作。 它还对其他10台hadoop服务器拥有root权限。 在300台服务器规模的网络中,从常识上来说,你已经通过了ldap权限的统一认证。 该开发人员如何允许他以普通用户身份登录到五台WEB服务器,以管理员身份登录,以及他无法访问剩下的200多台服务器
目前,据我了解,很多公司的运输队为了方面,整个运输队的运输人员还是共用同一个路线密码。 这种内部信任机制方便了大家的工作,但同时也存在非常大的安全隐患。 在很多情况下,一个运输人员只需要管理固定数量的服务器,毕竟公司被划分为不同的业务线,不同的运输人员管理的业务线也不同。 但是,如果共享根密码,实际上就无限扩大了每个承运人的权限。 也就是说,如果一个承运人想作恶,他可以在几分钟内停止整个公司的业务,或者删除数据。 也有人认为,为了降低风险,更改不同业务线的root密码就可以了吗?也就是说,各个业务线的承运人只知道自己的密码吗? 这当然是最简单有效的方法,但问题是如果同时使用ldap,那就又麻烦了。 如果你设置了root但没有通过ldap认证,新的问题是承运人每次退休都需要更改他所在的业务线的密码
其实我觉得上述问题很容易在汉堡机上实现。 回收所有人直接登录服务器的权限,所有登录动作都允许在汉堡机上进行。 运输业者和开发者不知道远程服务器的密码。 这些远程计算机的用户信息与堡垒相关联,汉堡机的用户只能看到哪些远程服务器具有哪些权限可以访问。
在承运人和开发人员收回直接登录远程服务器的权限后,实际上你们公司生产系统的所有认证过程都是在Barget上完成的,因为Barget现在是你们生产系统的单一信号(SSO )模块只需在堡垒中添加一些规则,就可以实现以下权限控制。
A开发者允许普通用户登录5台web服务器,以root权限登录10台hadoop服务器,但其余服务器没有访问任务的权限
多个承运人可以共享一个根帐户,但每个帐户都可以分辨谁在哪个服务器上操作了哪些命令。 因为Barket帐户是每个人唯一的。 这意味着,尽管所有承运人共享同一个远程路由帐户,但他们使用的堡垒帐户是自己特有的,因此可以通过Barket控制每个承运人访问不同的机器。
审计管理审计管理其实很简单,就是记录用户的所有操作,为将来的审计或事故后的责任做准备。 在记录用户操作的过程中有需要注意的问题。 也就是说,为了操作用户,这个记录是看不见的。 什么意思? 也就是说,无论用户是否希望,他的操作都将被记录。 而且,如果他自己不想操作,或者想删除记录的内容,这些他都做不到。 因此,操作日志对用户来说是不可见且不可访问的,这就要求它能很好地在汉堡机上实现。
正如我之前提到的,接下来我会推荐几种汉堡软件。 大家可以根据自己的业务需求进行选择
奇智堡垒机
国内最先制造汉堡机的商业产品功能强大,支持Windows和Linux设备的审核。 当然价格也不便宜。 据我所知,我想产品套装在20万左右。
JumpServer
去年刚上市的开源Barket软件支持对Linux主机进行操作审核,不支持Windows
CrazyEye
我刚开发的Barket主机管理软件支持对Linux主机的操作审计,不支持Windows。 与以上两者的区别之一是,CrazyEye还支持对主机的批量命令、文件分发操作,后期还将添加计划任务管理,敬请期待。
软件千兆位地址: https://github.com/tria quae/crazy eye.git
软件截图:
转载于:https://blog.51cto.com/3060674/1700814