系统基于GateOne软件的堡垒机应用研究

基于GateOne软件的堡垒机应用研究

■ 中国人民银行广州分行刘瑞成

一、现状 终端的开源堡垒机。通过部署Gat e On e软件用户无须

随着电子化程度的不断提高各种业务的开展均 在客户端上安装任何插件就能通过浏览器以依赖于网络和计算机系统各单位对网络和业务系统设 HTTPS 方式登录GateOne模拟终端并在模拟终端备的安全运维越来越重视。但目前仍然有许多单位采 通过Telnet或SSH的方式远程登录主机系统无须借用现场或远程登录网络和业务系统开展日常运维操作 助其他终端软件就能在浏览器上对主机系统开展运维存在许多安全问题其中比较突出的问题有共享账户、 操作而且每 个登录用户对主机系统的所有操作均有账户管理复制、运维行为难以有效规范和审计等。 日志记录提供事后用户操作记录回放功能。

一多个运维人员共享同一账户 由于受到设备、 GateOne软件还支持多个SSH进程和SSH进程副

操作系统或业务系统的限制系统 本打开进程多个副本无须重复输入主机系统登录密管理员账户只能设置一个因此不同系统管理员只能共 码支持使用JavaScript Python甚至纯CSS编写的享同一账户来管理业务系统。一旦发生安全运维事故 插 件支持Keberos-based单点登录甚至活动目录不仅难以定位账户的实际使用者和责任人而且无法 等功能非常强大。由于GateOne属于开源软件具有对账户的使用范围进行有效控制。 很强的灵活性因此用户还可以对GateOne软件进行

二运维人员账户管理复杂一般情况下系统运 二次开发 以满足堡垒机系统个性化和安全性的需

维人员需要同时负责多个业务 求例如增加 用户权限分配等功能。

系统的运维工作普遍存在一个运维人员使用不同账 二系统部署架构

户来管理不同的业务系统运维人员须掌握多套用户名 1软硬件支撑环境

和口令的现象如果运维人员管理的设备或系统较多 GateOne软件不仅功能强大而且在硬件方面也不时即使进行简单的配置工作就需要逐一登录相关设 需要特别的硬件支持普通PC机或者虚拟机都能够满备或系统其工作量大导致工作效率低下、管理繁琐 足Gate One软件部署的需求。目前在操作系统方面甚至出现误操作。 GateOne软件支持Red Hat Linux CentOSUbuntu等

三运维行为难以有效规范和审计 操作系统在支撑环境软件方面须安装Python 2.6以

在日常业务系统运维工作中一般都是依赖于设 上版本或者3.2以上版本、Tornado Framework 2.2以备、操作系统或业务系统日志进行监控和审计但是由 上版本 如果需要实现Kerberos单点登录或活动目于各系统自身审计日志分散、内容不详难以对运维操 录等功能还需要安装Python-Kerberos模块。由于操作进行规范一旦出现违规操作或误操作便无法进行 作系统、支撑软件和Gat eOne软件均可以免费使用因操作回溯难以定位和排除问题也难以通过事后审计 此在不需要额外投入的情况下即可实现堡垒机的各项的方式进行追查取证、定位责任。 功能提高系统的安全运维保障能力。

GateOne软件搭建的堡垒机系统可以实现对整个安

二、GateOne堡垒机部署方案 全架构内所有主机和网络设备等的管理能够实现运维

一Gat eOn e软件简介 安全审计“事前预防、事中控制、事后审计”的要求具

GateOne软件是使用HTML 5技术开发的基于网 备高性价比、高效性能、高可视化和强大审计的特点。

页

投稿邮箱 hnfc@21cn net57

客户端1 客户端2 客户端n uid= “0”

图1 GateOne堡垒机系统物理部 url_prefix= “/”

署 u s er

3逻辑部署 dt ach=True

GateOne堡垒机系统部署逻辑如图2所示。运维 certificate = “certificate.pem”

人 员开展网络或主机系统日常运维操作步骤如下 log_to_stderr =False

1用 户通过客户端以浏览器HTTPS方式打开 session_logs_max_age= “30d”

Gat eOne堡垒机系统地址 2输入Gat eOne堡垒机 gid= “0”

操作系统用户名和密码 3如果用户名和密码正确 pid_fi le = “/var/run/GateOne.pid”

GateOne终端界面将提示以SSH方式登录远程管理主 s so_realm=None 如果采用单点登录设置为活动机 4输入远程管理的网络或主机IP地址、用户名和 目录域名

密码后登录网络或主机系统开展运维操作。登录 cookie_secret = “YWNlODhhNTQ1NzM1NGVkNTl GateOne终端界面后可以在浏览器上通过LogViewer mNzM5N2FhMjZlMzIyY2MzZ”

2014年·第10

栏目编辑pam_rea lm= “本地主机名” 如果另外搭建终端 到Gat eOne终端。在Gat eOne终端界面以SSH方式通过登录用户管理服务器配置为终端登录用户管理服务 网

器IP地址 络或主机系统用户登录到网络或主机系统开展运维操

终端界面上所有的操作均有日志记录

HTT可看到syslog_session_logging = False 所 有的操作日志记录点击相应的日志记录可回溯查disabl e_ss l = Fals e 看在Gat eOne终端上的全部操作过程。Gat eOne终端

或 op t iona l需要验证客户端ssl证书log_file_max_size = 104857600 面session_timeout = “1d” 根据需要设置用户登录 三、小结

终端的超时时间 通过对GateOne堡垒机系统的部署和应用实践c ommand = “ /opt/GateOne/plugins/ 发现Gate One软件具有很强的功能和扩展性。使SSH/scr ipts /SSH_connect. py -S ‘/tmp/ 用 GateOne软件部署的堡垒机系统不仅满足大多数Gat eOne/%SESSI ON%/%SHORT_SOCKET%’ --SSHfp 情况下的安全运维需求而且还具有以下一些主要特-a ‘-oUserKnownHostsFile=%USERDIR%/%USER%/ 性。

SSH/known_hosts’ ” 一是GateOne软件结合了软件终端的功能运维ca_certs=None 人员只需要通过客户端的浏览器就能实现远程设备的js_init= “” 管理操作无须使用其他终端软件来开展运维操作。keyf ile= “keyfile.pem” 二是Gat eOne软件属于开源软件无须支付任何费用log_fi l e_prefix = “/opt/Gat eOne/logs/webserver. 在无须增加成本的情况下就能实现堡垒机的基本log” 功能增强网络和主机设备的运维安全性。 三是

四Gat eOne堡垒机系统应用效果Gat eOne堡垒 GateOne软件部署的堡垒机系统基本能够满足

机部署后运维人员不能直接访问网 日常运维安全审计“事前预防、事中控制、事后审计”的络或主机设备只能通过客户端借助浏览器以HTTPS 需求。

方式打开Gat e On e终端输入Gat e On e堡垒机系统上 四是Gat eOn e软件源代码公开可以对Gat eOn e软开 件进行二次开发增加个性化功能和增强堡垒机的安