堡垒机有以下两个至关重要的功能:

权限管理

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

  1. 设想你们公司有300台Linux服务器,A开发人员需要登录其中5台WEB服务器查看日志或进行问题追踪等事务,同时对另外10台hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5台web服务器,并且同时允许他以管理员的身份登录另外10台hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限

  2. 目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。

在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

  1. 允许A开发人员通过普通用户登录5台web服务器,通过root权限登录10台hadoop服务器,但对其余的服务器无任务访问权限

  2. 多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

审计管理

审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。

前面说了这么多,接下来就给大家推荐几个堡垒机软件,各位可根据自己的业务需求进行选择。

【开源堡垒机或者运维安全审计系统】

1.Jumpserver *
2.CrazyEye *
3.麒麟开源堡垒机 *
4.开源堡垒机GateOne
5.堡垒机xrdp: 
an open source RDP server http://www.xrdp.org/  https://github.com/neutrinolabs/xrdp
6.集中安全运维堡垒机  http://www.itosas.com/

附:大致的云堡垒机的功能:权限控制,集中管理,运维友好,脚本管理,实时操作审计。——一键云

*商业堡垒机与麒麟开源堡垒机功能比较列表-泡泡产品论坛 http://bbs.pcpop.com/thread-11042104-1-1.html
*云安宝-云匣子|云加密|云堡垒机|云平台运维审计|云安全 http://www.yunanbao.com.cn/ (推荐)
*安恒云堡垒机  https://market.aliyun.com/products/56844019/cmjj006239.html (推荐)
*奇智堡垒机——国内最早做堡垒机的,商业产品,功能强大,支持对Windows和Linux设备的审计,当然价格也不便宜,据我了解,
应该是一套产品20万左右。
*堡垒机软件——碉堡品牌|服务器网络运维操作管理审计系统|系统运维安全管理审计专家  http://www.baoleiji.com/
*GitHub - triaquae/CrazyEye: OpenSource IT Automation Software https://github.com/triaquae/CrazyEye
*齐智、江南科友的堡垒机的功能开发   
*运维安全审计堡垒机 * 昂楷科技堡垒机  *风信子运维安全审计系统 http://www.fultrust.com/products/baoleiji.htm

【附录参考】云堡垒机的市场前景和用户接受程度? http://www.zhihu.com/question/26776785

开源堡垒机或者运维安全审计系统相关推荐

  1. 堡垒机JumpServer(一):部署运维安全审计系统

    准备最低环境配置:服务器:2核4G,200G硬盘, 64 位 Centos 7 主机:作用:运维与安全,是符合 4A 的专业运维安全审计系统. JumpServer核心功能: 1.jumpserver ...

  2. 堡垒机、运维堡垒机、开源堡垒机、云堡垒机全面解析

    一.概述 1.0.数据丢失危机1.1.面临的挑战 复制代码 二.堡垒机的概念和种类 2.0.网关型堡垒机2.1.运维审计型堡垒机2.1.1.主要功能 复制代码 三.主流堡垒机解决方案 3.0.使用开源 ...

  3. 江南科友 hac linux shell,运维安全审计系统(HAC 1000E、HAC 1000P)

    "运维安全审计系统(HAC 1000E.HAC 1000P)"详细介绍 堡垒机.HAC.运维安全审计系统.江南科友堡垒机.内控堡垒机.运维堡垒机.HAC 1000-E.HAC 10 ...

  4. 中国服务器审计系统,OSA 运维安全审计系统

    方案简介 OSA 运维安全审计系统扮演着看门者的职责,所有对网络设备和服务器等资源的请求都要从这扇大门经过.因此运维安全审计系统能够拦截非法访问和恶意攻击,保护核心服务器.数据库等重要系统,对不合法命 ...

  5. 有了堡垒机,运维工程师们不再是背锅侠啦

    众所周知,运维工程师的工作比较繁琐杂乱,且经常是背锅侠.所以要想舒舒服服做好IT运维工作,就要用堡垒机!用了堡垒机,从此告别背锅侠!下面我们小编就给大家简单讲解一下堡垒机的定义.作用.功能等等,希望可 ...

  6. 华为堡垒机_运维堡垒机----Gateone

    简介: 运维堡垒机的理念起源于跳板机.2000年左右,高端行业用户为了对运维人员的远程登录进行集中管理,会在机房里部署跳板机.跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上, ...

  7. JumpServer开源堡垒机与宝兰德中间件完成产品兼容性认证

    近日,中国领先的开源软件提供商FIT2CLOUD飞致云宣布,JumpServer开源堡垒机已经完成与宝兰德主要中间件软件产品的兼容性认证. 经过双方严格的联合测试,宝兰德分布式缓存数据库软件V1.0和 ...

  8. JumpServer开源堡垒机完成龙芯架构兼容性认证

    2022年8月2日,中国领先的开源软件提供商FIT2CLOUD飞致云宣布,JumpServer开源堡垒机通过龙芯架构兼容性认证. 经过严格验证,LoongArch龙芯架构与JumpServer运维安全 ...

  9. Linux部署开源堡垒机JumpServer详细教程

    堡垒机,也叫做运维安全审计系统,它的核心功能是 4A: 身份验证 Authentication 账号管理 Account 授权控制 Authorization 安全审计 Audit 简单总结一句话:堡 ...

最新文章

  1. 用Async函数简化异步代码
  2. 一天搞定HTML----常用标签01
  3. 以 DirectUI 方式实现的ImageButton
  4. 上学的你,是不是最怕老师给家长打电话……
  5. 51nod 1101 换零钱 简单dp
  6. 《Science》日本科学家利用干细胞诱导成功了大鼠生殖细胞
  7. 水利水电工程与计算机技术应用,水利水电施工中计算机的应用
  8. java发送html附件_Java发送邮件(图片、附件、HTML)
  9. 10.Configure One-to-Many(配置一对多关系)【Code-First系列】
  10. python求小于n的所有素数_关于求N以内素数的python实现以及优化方法
  11. html金额自动换算成大写,JavaScript实现将人民币小写金额自动转换成大写的方法...
  12. 电脑怎么分区硬盘分区方法
  13. APEX 文件格式学习记录
  14. cinahl数据库怎么进入_CINAHL数据库的检索系统及相关检索方法
  15. 解决U8库龄分析报表数量与实际结存数量不一致问题
  16. Matplotlib系列(一):快速绘图入门
  17. 数学之美番外篇:进化论中的概率论
  18. Ubuntu系列(一):给英特尔NUC重装 ubuntu18.04 的系统
  19. vscode安装ARM插件搜不到
  20. 1197: 考试排名(一)(结构体专题)

热门文章

  1. 父元素设置了padding,子元素如何忽略掉这个padding
  2. revit服务器地址修改,BIM软件小技巧:Revit软件中如何更改项目原点
  3. redis java 集成视频_redis(6)-java集成二
  4. 推荐一个好用的操作系统下载网站
  5. 清除浮动最常用的四种方法
  6. 贵州移动IDC云管理平台--云宏
  7. 2020字节跳动校园招聘算法方向第一场考试题解
  8. 如何做保证测试工作有价值和意义
  9. linux驱动 无线网卡,realtek 8179无线网卡linux驱动,rtl8188eu
  10. Windows系统中必装办公待办事项软件操作简单专业高效