最近,出于管理和检查的需要,公司领导接入了汉堡系统,测试了一些商业汉堡机。 因为价格超过了预算等理由而没有购买。 我们还测试了三个开源的汉堡机。 我觉得麒麟的开源汉堡机是功能最好的。 基本上和商业汉堡机一样,唯一的问题是图形部分不是开源的,但我们的服务器基本上是LINUX环境,所以是telnet、sh和ftp
目前市场上的商业汉堡机价格太高,基本上在10万左右。 我结合在公司部署开源汉堡机的经验,将流程写成文档与大家分享。
我测试的其他开源的汉堡机基本上是半成品,麒麟的汉堡机基本上是成品的汉堡机,但是还有一些小bug,可以自己修改和修改源代码。
麒麟启动器的安装条件
1 .系统至少需要两个网卡,一个网卡在安装过程中报告错误。 如果出现了虚浮两张网卡
2 .最低系统硬件为Intel 64位CPU、4G内存和200G硬盘。 注意,无法安装32位处理器
安装步骤:
麒麟堡垒机的安装过程非常简单,用CD启动,回到车上,就完全无人安装了。 不需要进行任何干涉。 (安装过程基本上可以给95分),过程图如下。
插入光驱启动后,进入安装画面,在blj处直接回到车上。 (PS :使用笔记本电脑安装虚拟机时,首先选择install Pcvm,方式使用500M SWAP,默认安装方式使用32G SWAP。 这些安装方式主要是SWAP的大小不同,以虚拟机方式安装Barker时,可能会出现SWAP不足的问题。 ) )。
我的硬件物理机是8G内存,普通的E3单CPU,2T串口硬盘,安装过程大约需要半个小时左右,安装完成后,重新启动系统,退出磁盘即可。
系统构成:
1 .安装之后,系统的默认IP是: Eth0 192.168.1.100/24。 可以使用笔记本电脑直接构成同一网段的IP,直接连接ETH0,使用IE输入https://192.168.1.100登录。 默认密码是admin/12345678
2 .麒麟啤酒发射器使用的Centos 7.1系统(PS太新),还提供了登录密码(这比商用Baoleiji123好),技术之神直接去后台修改IP就可以了注意后台的SSH端口为2288,用户名和密码为root/Baoleiji123
3 .系统配置后,需要向开发者申请图形许可证才能使用图形协议。 如果是只有文字的东西,可以直接使用。 因为我这里都是LINUX,所以没有进行许可证的申请。 麒麟启动器的上线主要进行了四个步骤
创建目录结构------Barket帐户(主帐户)-----服务器帐户) -导入从属帐户相关的许可证,实际上比商业Barket更有用
4 .创建目录结构:
目录被分类为设备组和用户组。 麒麟启动程序是LDAP结构,组中可以包含用户和设备。 我觉得这个不方便。 我是分别制作用户和设备的小组。 添加用户、设备时,请务必添加组。 因为没有组就无法添加设备和用户
单击资源管理-资产管理-目录管理选项卡,然后单击“添加新节点”; 根据要创建的组类型,选择“所属目录”和“属性”。
5 .图1
PS:输入“节点名称”节点的名称,“所属目录”输入新创建的目录所属的父组; 目录树可以是无限级别的目录,必须在部署Barket之前部署目录树才能导入用户和设备。 导入用户和设备时,需要放置的目录树。
6 .导入6.Barket帐户(主帐户)。 菜单资源管理)资产管理)在用户管理中,默认情况下有四个帐户admin、audit、password和test。 如果账户很少,可以一个一个地添加。 我使用的导入方法是单击导出一个CSV模板,然后按
导出后,只需填写CSV表
用户名:承运人登录汉堡王时的名称必须是唯一的(请务必填写)。
密码:承运人登录汉堡王时的密码(请务必填写) )。
真实姓名:承运人的真实姓名(必须填写) ) ) ) ) )。
电子邮件地址:承运人的电子邮件地址(选择并填写) ) ) )。
用户权限:统一配置为普通用户(必填) ) ) ) ) ) )。
组名称:目录结构中的资源组的名称。 如果出现同名的资源组,则在导入时必须使用组名(id )方法。 例如,如果出现重复的first组,并且希望通过接口加入该组,则组名为first ) 221 )
完成后,删除第一行test行,然后单击导入菜单。 请一定要检查加密。 否则,无法导入
7 .导入服务器帐户(从帐户)。 麒麟构建器在从帐户导入时会自动创建服务器,因此将CSV文件导出到资源管理-资产管理-设备列表,逐文件填写,然后导入即可完成设备、设备帐户的输入。
一般只需要A到H列,后面只要复制模版中的即可,各列说明如下:
主机名:主机的名称
IP主机的IP地址
服务器组:服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:
系统类型:主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加
系统用户:系统用户名,如果不想托管,则这项不填
当前密码:系统播放的密码,如果不想托管,则这项可以不填
登录协议:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在这些登录方式中选择相应的
端口: 登录协议连接的目标端口
过期时间:这个系统帐号的过期时间,如果超过过期时间,则不在允许登录
自动修改密码:是否对这个帐号进行自动修改密码(默认为否)
主帐号:自动修改密码时只使用一个帐号登录修改主机上所有的用户密码,如果是主帐号,则填是,主帐号一般为root权限或可以sudo 为root
自动登录:默认填是
堡垒机用户:均填否
Sftp用户 :如果是SSH服务,则设置这个SSH用户是否可以使用SFTP服务,是为允许,否为不允许
公私钥用户:如果是SSH服务,设置这个SSH用户认证是不是使用公私钥方式,是或否
填好后点导入按钮导回,注意,也一定要勾上加密
9.系统授权,堡垒机帐号(主帐号)、主机系统帐号(从帐号)导入完成后,需要进行赋权操作,赋权后堡垒机帐号(主帐号)登录到堡垒机才能跳转到相应的设备。
赋权操作如果一个堡垒机帐号(主帐号)有大量从帐号的权限,则赋权是在系统用户组菜单完成的,如果为堡垒机帐号(主帐号)临时添加一个从帐号的赋权,则也可以在主机设备帐号菜单中完成。
赋权操作最好按用户组的方式进行赋,即将权限相同的用户放在同一个用户组中,然后为这个用户组创建一个系统用户组,将这些用户拥有权限的主机设备帐号都加到这个组中,然后将这个系统用户组绑定给这个用户组,如果每个用户的权限都不一样,也可以为单独的用户划分系统用户组后进行授权。
单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“添加新组”;填写“系统用户组”名,选中“未选设备”中系统用户添加到“已选设备”,确定已经选中想要赋权的堡垒机用户组的所有系统帐号后,点击保存;
单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“操作”栏中“授权”,勾选“授权组”或“授权用户”,配置完成单击“保存修改”;
授权后,组中的用户或被授权的用户,就拥有了这个系统用户组中所有的主机系统帐号的权限。
到此,堡垒机的设置就完成了,下面说一说我的心得:
堡垒机对于运维人员有几个好的地方,麒麟堡垒机的插件支持任何浏览器(我测试的商业版本,FIREFOX和CHROME只能使用JAVA方式),另外麒麟堡垒机有一个透明登录的功能非常好用,就是在设置好权限后,在列表导出里导出SECRECRT的列表,然后导到CRT的SESSIONS目录,在登录设备时,是直接登录,根本感觉不到堡垒机的存在 ,这个功能必须要赞。