利用假期用Py開發了個開源堡壘機CrazyEye

假期姑娘們都不在身邊，又不想處處去看人海，因此呆在家裏開發了個堡壘機，現已開源，歡迎你們試用，在使用前，容我先跟你們介紹下堡壘機的重要性！

 

到目前爲止，不少公司對堡壘機依然不太感冒，實際上是沒有充分認識到堡壘機在IT管理中的重要做用的，不少人以爲，堡壘機就是跳板機，其實這個認識是不全面的，跳板功能只是堡壘機所具有的功能屬性中的其中一項而已，下面我就給你們介紹一下堡壘機的重要性，以幫助你們參考本身公司的業務是否須要部署堡壘機。

 

堡壘機有如下兩個相當重要的功能：

 

權限管理

當你公司的服務器變的愈來愈多後，須要操做這些服務器的人就確定不僅是一個運維人員，同時也可能包括多個開發人員，那麼這麼多的人操做業務系統，若是權限分配不當就會存在很大的安全風險，舉幾個場景例子：

1. 設想大家公司有300臺Linux服務器，A開發人員須要登陸其中5臺WEB服務器查看日誌或進行問題追蹤等事務，同時對另外10臺hadoop服務器有root權限，在有300臺服務器規模的網絡中，按常理來說你是已經使用了ldap權限統一認證的，你如何使這個開發人員只能以普通用戶的身份登陸5臺web服務器，而且同時容許他以管理員的身份登陸另外10臺hadoop服務器呢？而且同時他對其它剩下的200多臺服務器沒有訪問權限

2. 目前據我瞭解，不少公司的運維團隊爲了方面，整個運維團隊的運維人員仍是共享同一套root密碼，這樣內部信任機制雖然使你們的工做方便了，但同時存在着極大的安全隱患，不少狀況下，一個運維人員只須要管理固定數量的服務器，畢竟公司分爲不一樣的業務線，不一樣的運維人員管理的業務線也不一樣，但若是共享一套root密碼，其實就等於無限放大了每一個運維人員的權限，也就是說，若是某個運維人員想幹壞事的話，他能夠在幾分鐘內把整個公司的業務停轉，甚至數據都給刪除掉。爲了下降風險，因而有人想到，把不一樣業務線的root密碼改掉就ok了麼，也就是每一個業務線的運維人員只知道本身的密碼，這固然是最簡單有效的方式，但問題是若是你同時用了ldap,這樣作又比較麻煩，即便你設置了root不經過ldap認證，那新問題就是，每次有運維人員離職，他所在的業務線的密碼都須要從新改一次。

 

其實上面的問題，我以爲能夠很簡單的經過堡壘機來實現，收回全部人員的直接登陸服務器的權限，全部的登陸動做都經過堡壘機受權，運維人員或開發人員不知道遠程服務器的密碼，這些遠程機器的用戶信息都綁定在了堡壘機上，堡壘機用戶只能看到他能用什麼權限訪問哪些遠程服務器。

 

 

在回收了運維或開發人員直接登陸遠程服務器的權限後，其實就等於大家公司生產系統的全部認證過程都經過堡壘機來完成了，堡壘機等於成了大家生產系統的SSO(single sign on)模塊了。你只須要在堡壘機上添加幾條規則就能實現如下權限控制了：

1. 容許A開發人員經過普通用戶登陸5臺web服務器，經過root權限登陸10臺hadoop服務器，但對其他的服務器無任務訪問權限

2. 多個運維人員能夠共享一個root帳戶，可是依然能分辨出分別是誰在哪些服務器上操做了哪些命令，由於堡壘機帳戶是每一個人獨有的，也就是說雖然全部運維人員共享了一同一個遠程root帳戶，但因爲他們用的堡壘帳戶都是本身獨有的，所以依然能夠經過堡壘機控制每一個運維人員訪問不一樣的機器。

 

 

 

審計管理

審計管理其實很簡單，就是把用戶的全部操做都紀錄下來，以備往後的審計或者事故後的追責。在紀錄用戶操做的過程當中有一個問題要注意，就是這個紀錄對於操做用戶來說是不可見的，什麼意思？就是指，不管用戶願不肯意，他的操做都會被紀錄下來，而且，他本身若是不想操做被紀錄下來，或想刪除已紀錄的內容，這些都是他作不到的，這就要求操做日誌對用戶來說是不可見和不可訪問的，經過堡壘機就能夠很好的實現。

 

 

 

 

前面說了這麼多，接下來就給你們推薦幾個堡壘機軟件，各位可根據本身的業務需求進行選擇

 

奇智堡壘機

國內最先作堡壘機的，商業產品，功能強大，支持對Windows和Linux設備的審計，固然價格也不便宜，據我瞭解，應該是一套產品20萬左右。

 

JumpServer

去年剛推出的一款開源的堡壘機軟件，支持Linux主機操做審計，不支持Windows

 

CrazyEye

 

我本身剛開發的一款堡壘機+主機管理軟件，支持Linux主機操做審計，不支持Windows，跟上面兩款的一個區別是，CrazyEye同時支持對主機進行批量命令、文件分發操做，後期還會加入計劃任務管理，敬請期待。

軟件git地址：https://github.com/triaquae/CrazyEye.git

 

軟件截圖：