堡垒跳板机实现——整体架构

JinB 发布于2019-05-29 18:46 / 491人阅读

摘要：背景介绍最近，笔者接手公司的一项任务建造服务器的堡垒跳板机。关于跳板机的实现，其实简单版本网上一大堆，甚至更有开源堡垒机可供选择，方案很多。目标规模使用两台服务器做主从集群，所有实体服务器对接此集群，从而统一进行验证。

背景介绍

最近，笔者接手公司的一项任务：建造服务器的堡垒跳板机。

关于跳板机的实现，其实简单版本网上一大堆，甚至更有开源堡垒机Jumpserver可供选择，方案很多。接下来会就我的实现方案，整理出几篇文章来做概要描述。

覆盖功能

正所谓兵马未动，粮草先行，在设计之前，先整理出我们一期中堡垒机要覆盖的基本功能点：

服务器统一账号权限管理，包括哪些用户可以对哪些服务器进行login，哪些用户有sudo权限；

用户行为记录，可在必要时回看审查；

用户登录校验审查；

现在初期的目标是将所有的linux服务器通过堡垒机进行管理把控，将来扩展下，同样可以通过ssh协议对 交换机、路由器、甚至是 Windows进行管理（目前windows已经可以实现通过ssh登录，不过这种方式就没有图形界面了且只能通过powershell来进行管理）。

架构设计

基于以上几点功能点，设计架构如下：

下面对这个架构图做下说明：

整体分为三层，总体来说，
第一层校验用户是否有登录堡垒机的权限；
第二层真正为用户分配权限，同时判断经过第一层的用户是否有对目标机器操作的权限；
第三层则是真正登录/操作服务器的方式，在这里我将服务器的auth+sudo权限通过ldap来进行分布式动态管理，稍后会有专门的说明；

第一层：
登录入口，凡是有堡垒机使用权限的均可以由此入口处登录成功。
涉及主要服务： user login shell。
服务主要功能：

读取用户信息，判断是否有登录权限；

调用动态Token服务，验证用户passwd；

调用动态token服务，实现二维码扫码快速登录；

调用第二层中的授权服务api，获取&判断用户的login权限；

记录用户操作日志；

关联服务：

动态Token服务，类似于google auth，每个人的动态码均不一样，每分钟update一次，以此做登录堡垒机的校验，当然如果想简单，多带带分配一个静态密码也可以；

第二层：
授权服务管理，获取登录用户当前的权限ip列表，判断用户的操作是否符合预授权。
涉及主要服务：授权管理服务

服务主要功能：

设置用户/team的权限列表；

将权限数据下发至第三层的ldap集群；

提供api获取用户的权限list；

关联服务：

CMDB，以cmdb中的服务树为基本单位做授权，同时在cmdb中判断授权的服务器对象是否有效;

OA，以oa中的用户组为基本单位做权限授予，同时基于oa来判断用户是否有效;

第三层：
登录实体服务器&执行命令；
将所有目标服务器的ssh登录体系对接ldap集群，通过在ldap中设置用户的publickey & sudo等信息，来统一控制用户的登录权限&sudo权限。

目标规模：
使用两台服务器做ldap主从集群，所有实体服务器对接此集群，从而统一进行auth验证。

未完待续

整体的架构说明就简单这样，接下来对就每一层的具体实现在分别和大家分享。

idc机房托管混合云堡垒机跳板机跳板机堡垒机跳板机,堡垒机堡垒机跳板机

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/9483.html

堡垒跳板机实现——ldap配置

摘要：进程由软件包提供，根据配置信息，与后端的认证服务器进行交互。这是关于堡垒跳板机的第三篇文章，之前介绍了实现堡垒跳板机的整体三层架构和设计实现：堡垒跳板机整体架构堡垒跳板机架构实现本篇介绍整个体系中的一个补充，对第三层ldap架构的实现的具体操作进行下记录。整体目标后端服务器数量日益增加，账号的数量也在不断增加，账号的统一管理变得尤为重要。结合堡垒机，主要针对服务器账号体系接...

Charles 2019-05-29 18:46 评论0 收藏0
堡垒跳板机实现——架构实现

摘要：关于堡垒机三层架构可以参见前一篇堡垒跳板机实现整体架构登录入口先说第一层，这层的主要功能为检测用户是否有使用堡垒机的权限。总述这是关于堡垒机实现的第二篇文章，主要阐述三层架构分别如何实现，包括第一层&第二层的设计与实现，即用户登录堡垒机的入口 & 授权验证，第三层，如何通过ldap来统一管理服务器账号权限。关于堡垒机三层架构可以参见前一篇blog：堡垒跳板机实现——整体架构登...

hyuan 2019-05-29 18:46 评论0 收藏0
安全防护建议

摘要：系统架构优化建议减少数据外泄的通道，通过报告掌握整体的安全态势存放关键内容的，不开通公网在前面增加，多一层保护数据库服务器不开通外网远程管理采用堡垒机中转开通云安全中心云监控，并定期查看报告系统架构的优化建议架构举例系统架构的优化建议系统架构优化建议减少数据外泄的通道，通过报告掌握整体的...

HackerShell 2021-09-24 09:47 评论0 收藏0
ssh登录自动填充密码

摘要：问题要通过一个跳板机登录其他主机，每次使用再输入密码的方式太耗时，想要进行密码自动填充解决使用在脚本中封装的登录自动填充密码功能使用的自动填充密码功能交互功能将写入配置文本或者直接在脚本作为字典读取用户输入，匹配出，调用进行登录，相关操作问题要通过一个跳板机ssh登录其他主机，每次使用ssh hostIp -l username再输入密码的方式太耗时，想要进行密码自动填充解决使...

姘搁『 2019-07-01 17:54 评论0 收藏0
UCloud推出多云等保解决方案，“破局”多云部署的安全痛点

摘要：而等保安全解决方案自推出以来，已帮助诸多用户解决了多云商部署下的攻击漏洞攻击主机黑客入侵等问题，成为企业多云部署环境下的坚实后盾。为避免将鸡蛋放在同一个篮子里可能带来的风险，例如单一云商出现机房网络故障、服务器宕机等事故带来的业务中断，很多企业在业务发展到一定规模时开始选择多云部署。多云部署不仅可以帮助企业提升系统的整体可用性，还能享受到多个云平台带来的差异化云产品和技术服务。但也给企业在多...

anquan 2020-12-03 17:13 评论0 收藏0