Python成長筆記 - 基礎篇 （十三）--堡壘機

堡壘機架構 

堡壘機的主要做用權限控制和用戶行爲審計，堡壘機就像一個城堡的大門，城堡裏的全部建築就是你不一樣的業務系統 ， 每一個想進入城堡的人都必須通過城堡大門並通過大門守衛的受權，每一個進入城堡的人必須且只能嚴格按守衛的分配進入指定的建築，且每一個建築物還有本身的權限訪問控制，不一樣級別的人能夠到建築物裏不一樣樓層的訪問級別也是不同的。還有就是，每一個進入城堡的人的全部行爲和足跡都會被嚴格的監控和紀錄下來，一旦發生犯罪事件，城堡管理人員就能夠經過這些監控紀錄來追蹤責任人。 

 

 

 

堡壘要想成功徹底記到他的做用，只靠堡壘機自己是不夠的， 還須要一系列安全上對用戶進行限制的配合，堡壘機部署上後，同時要確保你的網絡達到如下條件：

• 全部人包括運維、開發等任何須要訪問業務系統的人員，只能經過堡壘機訪問業務系統
  • 回收全部對業務系統的訪問權限，作到除了堡壘機管理人員，沒有人知道業務系統任何機器的登陸密碼
  • 網絡上限制全部人員只能經過堡壘機的跳轉才能訪問業務系統 
• 確保除了堡壘機管理員以外，全部其它人對堡壘機自己無任何操做權限，只有一個登陸跳轉功能
• 確保用戶的操做紀錄不能被用戶本身以任何方式獲取到並篡改　　

 

堡壘機功能實現需求

業務需求:

1. 兼顧業務安全目標與用戶體驗，堡壘機部署後，不該使用戶訪問業務系統的訪問變的複雜，不然工做將很難推動，由於沒人喜歡改變現狀，尤爲是改變後生活變得更艱難
2. 保證堡壘機穩定安全運行， 沒有100%的把握，不要上線任何新系統，即便有100%把握，也要作好最壞的打算，想好故障預案

功能需求：

1. 全部的用戶操做日誌要保留在數據庫中
3. 每一個用戶登陸堡壘機後，只須要選擇具體要訪問的設置，就鏈接上了，不須要再輸入目標機器的訪問密碼
4. 容許用戶對不一樣的目標設備有不一樣的訪問權限，例:
1. 對10.0.2.34 有mysql 用戶的權限
2. 對192.168.3.22 有root用戶的權限
3. 對172.33.24.55 沒任何權限
5. 分組管理，便可以對設置進行分組，容許用戶訪問某組機器，但對組裏的不一樣機器依然有不一樣的訪問權限　　　　

設計表結構: