一 堡垒机的架构

堡垒机的核心架构通常如下图所示:

二、堡垒机的一般执行流程

  1. 管理员为用户在服务器上创建账号(将公钥放置服务器,或者使用用户名密码)
  2. 用户登陆堡垒机,输入堡垒机用户名密码,显示当前用户可管理的服务器得列表
  3. 用户选择服务器,并自动登陆
  4. 执行操作并同时将用户操作记录

注:在linux中,通过配置用户的.brashrc文件,实现ssh登陆后自动执行脚本,如:/usr/bin/env python /home/jack/jump.py,完成业务操作后logout自动退出。

  另外,想要正确可靠的发挥堡垒机的作用,只靠堡垒机本身是不够的, 还需要对用户进行安全上的限制,堡垒机部署后,要确保你的系统达到以下条件:

  • 所有人包括运维、开发等任何需要访问业务系统的人员,只能通过堡垒机访问业务系统

    • 回收所有对业务系统的访问权限,做到除了堡垒机管理人员,没有人知道业务系统任何机器的登录密码
    • 网络上限制所有人员只能通过堡垒机的跳转才能访问业务系统
  • 确保除了堡垒机管理员之外,所有其它人对堡垒机本身无任何操作权限,只有一个登录跳转功能
  • 确保用户的操作纪录不能被用户自己以任何方式获取到并篡改,达到安全审计的作用。  

三、python实现堡垒机

通过第三方模块paramiko,在python中可以很方便的实现堡垒机的基础功能,还可以通过django框架实现web管理和维护。

基本架构如下:

1. 简单的实现版本

  该版本较简单,只能输入一行命令,回车,然后接收主机返回的信息,并打印。

#!/usr/bin/env python
# -*- coding:utf-8 -*-import paramiko
import sys
import os
import socket
import select
import getpass
from paramiko.py3compat import u  # python2.x中不需要这一行
 default_username = getpass.getuser()
username = input('Username [%s]: ' % default_username)
if len(username) == 0:username = default_usernamehostname = input('Hostname: ')
if len(hostname) == 0:print('*** Hostname required.')sys.exit(1)tran = paramiko.Transport((hostname, 22,))
tran.start_client()default_auth = "p"
auth = input('Auth by (p)assword or (r)sa key[%s] ' % default_auth)
if len(auth) == 0:auth = default_authif auth == 'r':default_path = os.path.join(os.environ['HOME'], '.ssh', 'id_rsa')path = input('RSA key [%s]: ' % default_path)if len(path) == 0:path = default_pathtry:key = paramiko.RSAKey.from_private_key_file(path)except paramiko.PasswordRequiredException:password = getpass.getpass('RSA key password: ')key = paramiko.RSAKey.from_private_key_file(path, password)tran.auth_publickey(username, key)
else:pw = getpass.getpass('Password for %s@%s: ' % (username, hostname))tran.auth_password(username, pw)# 打开一个通道
chan = tran.open_session()
# 获取一个终端
chan.get_pty()
# 激活器
chan.invoke_shell()while True:# 监视用户输入和服务器返回数据# sys.stdin 处理用户输入# chan 是之前创建的通道,用于接收服务器返回信息# select模块是IO多路复用模块,功能强大,无处不在,你值得学习和记忆!readable, writeable, error = select.select([chan, sys.stdin, ],[],[],1)if chan in readable:try:x = u(chan.recv(1024))  # python2.x中直接接收就可以,不要uif len(x) == 0:print('\r\n*** EOF\r\n')breaksys.stdout.write(x)sys.stdout.flush()except socket.timeout:passif sys.stdin in readable:inp = sys.stdin.readline()    # 一行一行的读取用户在终端输入的命令
        chan.sendall(inp)chan.close()
tran.close()

简单版本

2. 逐个字符发送的版本

  上面是一行一行的命令执行方式,下面这个是一个按键一个按键的读取并发送方式。

# 从chan.invoke_shell()这一句往上省略,和上面的例子相同import termios  # 导入python的终端模块。注意,windows系统没有这个模块。# 获取原tty属性,用于在退出时恢复原始状态
oldtty = termios.tcgetattr(sys.stdin)
try:# 为tty设置新属性# 默认当前tty设备属性:#   输入一行回车,执行#   CTRL+C 进程退出,遇到特殊字符,特殊处理。# 这是为原始模式,不认识所有特殊符号# 放置特殊字符应用在当前终端,如此设置,将所有的用户输入均发送到远程服务器
    tty.setraw(sys.stdin.fileno())chan.settimeout(0.0)while True:# 监视 用户输入 和 远程服务器返回数据(socket)# 阻塞,直到句柄可读r, w, e = select.select([chan, sys.stdin], [], [], 1)if chan in r:try:x = u(chan.recv(1024))if len(x) == 0:print('\r\n*** EOF\r\n')breaksys.stdout.write(x)sys.stdout.flush()except socket.timeout:passif sys.stdin in r:x = sys.stdin.read(1)  # 用户每在键盘上敲击一个按键,就读取一下,并发送到主机if len(x) == 0:breakchan.send(x)finally:# 重新设置终端属性为原状
    termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty)chan.close()
tran.close()

逐个字符

3. 更高级的版本

  在linux中有tab键补全功能,要实现它,需要按键读取的方式,接收主机返回的tab补齐信息,最后组合成完整的命令,并执行。另外由于windows操作系统没有termios模块,因此使用多线程的方式。

import paramiko
import sys
import os
import socket
import getpassfrom paramiko.py3compat import u# windows does not have termios...
try:import termiosimport ttyhas_termios = True
except ImportError:has_termios = Falsedef interactive_shell(chan):if has_termios:posix_shell(chan)else:windows_shell(chan)def posix_shell(chan):import selectoldtty = termios.tcgetattr(sys.stdin)try:tty.setraw(sys.stdin.fileno())tty.setcbreak(sys.stdin.fileno())chan.settimeout(0.0)log = open('handle.log', 'a+', encoding='utf-8')flag = Falsetemp_list = []while True:r, w, e = select.select([chan, sys.stdin], [], [])if chan in r:try:x = u(chan.recv(1024))if len(x) == 0:sys.stdout.write('\r\n*** EOF\r\n')breakif flag:if x.startswith('\r\n'):passelse:temp_list.append(x)flag = Falsesys.stdout.write(x)sys.stdout.flush()except socket.timeout:passif sys.stdin in r:x = sys.stdin.read(1)import jsonif len(x) == 0:breakif x == '\t':flag = Trueelse:temp_list.append(x)if x == '\r':log.write(''.join(temp_list))log.flush()temp_list.clear()chan.send(x)finally:termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty)def windows_shell(chan):import threadingsys.stdout.write("Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n")def writeall(sock):while True:data = sock.recv(256)if not data:sys.stdout.write('\r\n*** EOF ***\r\n\r\n')sys.stdout.flush()breaksys.stdout.write(data)sys.stdout.flush()writer = threading.Thread(target=writeall, args=(chan,))writer.start()try:while True:d = sys.stdin.read(1)if not d:breakchan.send(d)except EOFError:# user hit ^Z or F6passdef run():default_username = getpass.getuser()username = input('Username [%s]: ' % default_username)if len(username) == 0:username = default_usernamehostname = input('Hostname: ')if len(hostname) == 0:print('*** Hostname required.')sys.exit(1)tran = paramiko.Transport((hostname, 22,))tran.start_client()default_auth = "p"auth = input('Auth by (p)assword or (r)sa key[%s] ' % default_auth)if len(auth) == 0:auth = default_authif auth == 'r':default_path = os.path.join(os.environ['HOME'], '.ssh', 'id_rsa')path = input('RSA key [%s]: ' % default_path)if len(path) == 0:path = default_pathtry:key = paramiko.RSAKey.from_private_key_file(path)except paramiko.PasswordRequiredException:password = getpass.getpass('RSA key password: ')key = paramiko.RSAKey.from_private_key_file(path, password)tran.auth_publickey(username, key)else:pw = getpass.getpass('Password for %s@%s: ' % (username, hostname))tran.auth_password(username, pw)# 打开一个通道chan = tran.open_session()# 获取一个终端
    chan.get_pty()# 激活器
    chan.invoke_shell()interactive_shell(chan)chan.close()tran.close()if __name__ == '__main__':run()

Tab键补全

三、通过堡垒机实现SCP

#!/usr/bin/env python
import paramiko
import os,sys,timehostname="192.168.1.111"   # 远程主机
username="root"                    # 远程主机的用户名
password="SKJh935yft#"blip="192.168.1.1"              # 堡垒机
bluser="root"                        #堡垒机用户名
blpasswd="SKJh935yft#"tmpdir="/tmp"                   #  客户机源文件路径、堡垒机临时路劲和远程主机目标文件路径
remotedir="/data"
localpath="/home/nginx_access.tar.gz"
tmppath=tmpdir+"/nginx_access.tar.gz"
remotepath=remotedir+"/nginx_access_hd.tar.gz"port=22
passinfo='\'s password: '                     # 这是密码信息
paramiko.util.log_to_file('syslogin.log')   # paramiko自带的日志功能

t = paramiko.Transport((blip, port))           # 创建连接对象
t.connect(username=bluser, password=blpasswd)   #建立连接
sftp =paramiko.SFTPClient.from_transport(t)  # 创建SFTP连接
sftp.put(localpath, tmppath)    # 利用put方法上传文件

sftp.close()          # 关闭sftp连接

ssh=paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
ssh.connect(hostname=blip,username=bluser,password=blpasswd)#创建一个新的会话
channel=ssh.invoke_shell()
channel.settimeout(10)buff = ''
resp = ''
# 利用linux原生的scp功能将堡垒机上的临时文件传送到远程主机上面
channel.send('scp '+tmppath+' '+username+'@'+hostname+':'+remotepath+'\n')while not buff.endswith(passinfo):try:resp = channel.recv(9999)except Exception,e:print 'Error info:%s connection time.' % (str(e))channel.close()ssh.close()sys.exit()buff += respif not buff.find('yes/no')==-1:channel.send('yes\n')buff=''channel.send(password+'\n')buff=''
while not buff.endswith('# '):resp = channel.recv(9999)if not resp.find(passinfo)==-1:print 'Error info: Authentication failed.'channel.close()ssh.close()sys.exit()buff += respprint buff
channel.close()
ssh.close()

SCP

转载于:https://www.cnblogs.com/renyb/p/5741790.html

基于python的堡垒机相关推荐

  1. python之堡垒机(第九天)

    本节作业: 通过使用paramiko和sqlalchemy实现堡垒机功能 主要功能实现: 1.用户登录堡垒机后,无需知道密码或密钥可以SSH登录远端服务器: 2.用户对一个组内所有主机批量执行指定命令 ...

  2. Python之堡垒机

    本节内容 项目实战:运维堡垒机开发 前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功 ...

  3. 堡垒机的作用与选型经验

    作者:云安宝 链接:https://www.zhihu.com/question/21036511/answer/364989068 来源:知乎 著作权归作者所有.商业转载请联系作者获得授权,非商业转 ...

  4. jump Server开源堡垒机的部署以及资产管理

    jump Server开源堡垒机的部署及资产设备管理 堡垒机的主要作用就是审计,对设备维护人员的操作(什么人,什么身份,什么时间.登陆什么设备.执行什么操作.返回什么结果.什么时候退出)进行审计. 环 ...

  5. python连接linux堡垒机_利用Python Paramiko开发linux堡垒机

    1.Paramiko模块下的demo.py程序 前面利用Python中的Paramiko模块可以进行SSH的连接,以及用来传送文件(SFTP),但是无论是哪一种方式,连接都是短暂的,并非是长连的,即一 ...

  6. Python之路【第八篇】:堡垒机实例以及数据库操作

    Python之路[第八篇]:堡垒机实例以及数据库操作 堡垒机前戏 开发堡垒机之前,先来学习Python的paramiko模块,该模块机遇SSH用于连接远程服务器并执行相关操作 SSHClient 用于 ...

  7. python数据库管理实例_Python之路【第八篇】:堡垒机实例以及数据库操作

    堡垒机前戏 开发堡垒机之前,先来学习Python的paramiko模块,该模块机遇SSH用于连接远程服务器并执行相关操作 SSHClient 用于连接远程服务器并执行基本命令 基于用户名密码连接: i ...

  8. python基础学习(九)——堡垒机案例

    笔者是一个痴迷于挖掘数据中的价值的学习人,希望在平日的工作学习中,挖掘数据的价值,找寻数据的秘密,笔者认为,数据的价值不仅仅只体现在企业中,个人也可以体会到数据的魅力,用技术力量探索行为密码,让大数据 ...

  9. 【python】-- paramiko、跳板机(堡垒机)

    paramiko Python的paramiko模块,该模块用于连接远程服务器并执行相关命令,常用于作批量管理使用 一.下载: pip3 install paramiko 源码:查看 二.parami ...

最新文章

  1. 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID
  2. Bugku—web题解
  3. Lucifer的一场暴强围英雄表演
  4. 【练习】Java实现的杨辉三角形控制台输出
  5. 聊聊springboot session timeout参数设置
  6. HTML网易云音乐首页动画,仿网易云音乐广告页的转场动画
  7. Redis入门到精通(2021版本)视频教程
  8. structure 2.3.4 软件使用指南
  9. USB数据采集卡,Labjack U12 在工业控制中的用
  10. ue4创建c++类编译失败
  11. 计算机科学与技术工程师职称考试试题,2018年下半年网络工程师考试下午试题及答案...
  12. 线代 [7]|实对称矩阵
  13. 响铃:360浏览器首创自有根证书,不赚钱为哪般?
  14. 【devops】非必要 不要自建harbor 能力不足 真的被坑的服了 阿里云ACR不香吗?k8s接入ACR
  15. hopfileld神经网络_图卷积神经网络
  16. 从经济学角度解释:为什么画家总是死后成名?
  17. 读论文,衣物检索:Clothing Retrieval with Visual Attention Model(2017.10.31)
  18. html分享到微信朋友圈代码,微信分享给朋友及朋友圈JS代码
  19. TCP-IP详解笔记5
  20. 解决win10环境下安装ArcGIS提示需要Microsoft.NET Framework 3.5sp1或等效环境问题

热门文章

  1. cocos2d-x jsbinding 在线更新策略设计
  2. 简单解决XP共享连接数10限制
  3. 给.net程序打内存补丁-转
  4. DELL Poweredge服务器安装操作系统指南 补全之磁盘驱动制作
  5. 深入理解HTML协议
  6. 爬虫9-淘宝商品信息定向爬虫
  7. HashMap中的hash函数
  8. jquery的attr和prop区别之实例
  9. 求排列组合数C(n,m) φ(゜▽゜*)♪
  10. 复习---JS-Array 对象