運維堡壘機----Gateone

簡介：

運維堡壘機的理念起源於跳板機。2000年左右，高端行業用戶爲了對運維人員的遠程登陸進行集中管理，會在機房裏部署跳板機。跳板機就是一臺服務器，維護人員在維護過程當中，首先要統一登陸到這臺服務器上，而後從這臺服務器再登陸到目標設備進行維護。

但跳板機並無實現對運維人員操做行爲的控制和審計，使用跳板機過程當中仍是會有誤操做、違規操做致使的操做事故，一旦出現操做事故很難快速定位緣由和責任人。

2004年，人們認識到跳板機的不足，提出瞭如下運維操做管理理念：

理念一：惟有控制才能真正解決問題

審計是過後行爲，歷來沒有事前審計一說

審計能夠發現問題，可是沒法防止問題發生

只有在事前嚴格控制，才能從源頭真正解決問題

理念二：系統帳號沒法確認用戶身份

系統帳號的做用只是區分工做角色

多人共用一個系統帳號是合理的

運維人員的流動不該影響系統帳號

理念三：人爲操做不免會出問題

人有失手，馬有失蹄

不怕出問題，就怕出問題找不到緣由

只要機器能作的，就不要人作

在這些理念的指引下，2005年先後，奇智科技研發出世界第一臺運維堡壘機，自此運維堡壘機以一個獨立的產品形態被普遍部署，有效地下降了運維操做風險，使運維操做管理變得更簡單、更安全！

同時，首臺運維堡壘機的訪問代理模式，對運維人員的身份認證、對運維操做的訪問控制和審計等功能，都被運維堡壘機產品一直沿用至今。

Gateone

安裝部署

直接git下來就行

github地址：

https://github.com/liftoff/GateOne

git clone https://github.com/liftoff/GateOne.git

或者直接wget

wget https://codeload.github.com/liftoff/GateOne/zip/master

unzip master.zip

cd GateOne-master/

python setup.py install 

gateone    # 執行啓動命令

# 默認使用443端口

配置文件

[root@linux-node1 ~]# tree /etc/gateone/
/etc/gateone/
├── conf.d
│   ├── 10server.conf
│   ├── 20authentication.conf
│   └── 50terminal.conf
└── ssl
    ├── certificate.pem
    └── keyfile.pem

 

他是能夠進行日誌回放的，可是他也不是進行視頻的錄製，而是將他的內容存放到log中，經過javascript的方式展現出來。

下面我們分析下他是怎麼回放的

[root@linux-node1 logs]# cd /usr/lib/python2.7/site-packages/gateone-1.2.0-py2.7.egg/gateone/applications/terminal/
[root@linux-node1 terminal]# ./logviewer.py --flat /var/lib/gateone/users/ANONYMOUS/logs/20160120105930970679-192.168.56.1.golog

其實就是使用上面的那個簡本對日誌數據進行的回放

gateone還能夠嵌入到其餘的平臺中，嵌入方式以下：

[root@linux-node1 hello_embedded]# ll
total 20
-rw-r--r-- 1 root root 1050 Nov 23 02:26 certificate.pem
-rwxr-xr-x 1 root root 2248 Nov 23 02:26 hello_embedded_world.py
-rw-r--r-- 1 root root 1679 Nov 23 02:26 keyfile.pem
-rw-r--r-- 1 root root  176 Nov 23 02:26 README
drwxr-xr-x 3 root root 4096 Nov 23 02:26 static
[root@linux-node1 hello_embedded]# pwd
/usr/local/src/GateOne-master/gateone/tests/hello_embedded
[root@linux-node1 hello_embedded]# ./hello_embedded_world.py  --address=192.168.56.11
Now listening on https://192.168.56.11:443

這裏的端口是能夠本身指定的 --port=8888

而後訪問