基于GateOne软件的堡垒机应用研究
■ 中国人民银行广州分行刘瑞成
一、现状 终端的开源堡垒机。通过部署Gat e On e软件用户无须
随着电子化程度的不断提高各种业务的开展均 在客户端上安装任何插件就能通过浏览器以依赖于网络和计算机系统各单位对网络和业务系统设 HTTPS 方式登录GateOne模拟终端并在模拟终端备的安全运维越来越重视。但目前仍然有许多单位采 通过Telnet或SSH的方式远程登录主机系统无须借用现场或远程登录网络和业务系统开展日常运维操作 助其他终端软件就能在浏览器上对主机系统开展运维存在许多安全问题其中比较突出的问题有共享账户、 操作而且每 个登录用户对主机系统的所有操作均有账户管理复制、运维行为难以有效规范和审计等。 日志记录提供事后用户操作记录回放功能。
一多个运维人员共享同一账户 由于受到设备、 GateOne软件还支持多个SSH进程和SSH进程副
操作系统或业务系统的限制系统 本打开进程多个副本无须重复输入主机系统登录密管理员账户只能设置一个因此不同系统管理员只能共 码支持使用JavaScript Python甚至纯CSS编写的享同一账户来管理业务系统。一旦发生安全运维事故 插 件支持Keberos-based单点登录甚至活动目录不仅难以定位账户的实际使用者和责任人而且无法 等功能非常强大。由于GateOne属于开源软件具有对账户的使用范围进行有效控制。 很强的灵活性因此用户还可以对GateOne软件进行
二运维人员账户管理复杂一般情况下系统运 二次开发 以满足堡垒机系统个性化和安全性的需
维人员需要同时负责多个业务 求例如增加 用户权限分配等功能。
系统的运维工作普遍存在一个运维人员使用不同账 二系统部署架构
户来管理不同的业务系统运维人员须掌握多套用户名 1软硬件支撑环境
和口令的现象如果运维人员管理的设备或系统较多 GateOne软件不仅功能强大而且在硬件方面也不时即使进行简单的配置工作就需要逐一登录相关设 需要特别的硬件支持普通PC机或者虚拟机都能够满备或系统其工作量大导致工作效率低下、管理繁琐 足Gate One软件部署的需求。目前在操作系统方面甚至出现误操作。 GateOne软件支持Red Hat Linux CentOSUbuntu等
三运维行为难以有效规范和审计 操作系统在支撑环境软件方面须安装Python 2.6以
在日常业务系统运维工作中一般都是依赖于设 上版本或者3.2以上版本、Tornado Framework 2.2以备、操作系统或业务系统日志进行监控和审计但是由 上版本 如果需要实现Kerberos单点登录或活动目于各系统自身审计日志分散、内容不详难以对运维操 录等功能还需要安装Python-Kerberos模块。由于操作进行规范一旦出现违规操作或误操作便无法进行 作系统、支撑软件和Gat eOne软件均可以免费使用因操作回溯难以定位和排除问题也难以通过事后审计 此在不需要额外投入的情况下即可实现堡垒机的各项的方式进行追查取证、定位责任。 功能提高系统的安全运维保障能力。
GateOne软件搭建的堡垒机系统可以实现对整个安
二、GateOne堡垒机部署方案 全架构内所有主机和网络设备等的管理能够实现运维
一Gat eOn e软件简介 安全审计“事前预防、事中控制、事后审计”的要求具
GateOne软件是使用HTML 5技术开发的基于网 备高性价比、高效性能、高可视化和强大审计的特点。
页
投稿邮箱 hnfc@21cn net57
客户端1 客户端2 客户端n uid= “0”
图1 GateOne堡垒机系统物理部 url_prefix= “/”
署 u s er
3逻辑部署 dt ach=True
GateOne堡垒机系统部署逻辑如图2所示。运维 certificate = “certificate.pem”
人 员开展网络或主机系统日常运维操作步骤如下 log_to_stderr =False
1用 户通过客户端以浏览器HTTPS方式打开 session_logs_max_age= “30d”
Gat eOne堡垒机系统地址 2输入Gat eOne堡垒机 gid= “0”
操作系统用户名和密码 3如果用户名和密码正确 pid_fi le = “/var/run/GateOne.pid”
GateOne终端界面将提示以SSH方式登录远程管理主 s so_realm=None 如果采用单点登录设置为活动机 4输入远程管理的网络或主机IP地址、用户名和 目录域名
密码后登录网络或主机系统开展运维操作。登录 cookie_secret = “YWNlODhhNTQ1NzM1NGVkNTl GateOne终端界面后可以在浏览器上通过LogViewer mNzM5N2FhMjZlMzIyY2MzZ”
2014年·第10
栏目编辑pam_rea lm= “本地主机名” 如果另外搭建终端 到Gat eOne终端。在Gat eOne终端界面以SSH方式通过登录用户管理服务器配置为终端登录用户管理服务 网
器IP地址 络或主机系统用户登录到网络或主机系统开展运维操
终端界面上所有的操作均有日志记录
HTT可看到syslog_session_logging = False 所 有的操作日志记录点击相应的日志记录可回溯查disabl e_ss l = Fals e 看在Gat eOne终端上的全部操作过程。Gat eOne终端
或 op t iona l需要验证客户端ssl证书log_file_max_size = 104857600 面session_timeout = “1d” 根据需要设置用户登录 三、小结
终端的超时时间 通过对GateOne堡垒机系统的部署和应用实践c ommand = “ /opt/GateOne/plugins/ 发现Gate One软件具有很强的功能和扩展性。使SSH/scr ipts /SSH_connect. py -S ‘/tmp/ 用 GateOne软件部署的堡垒机系统不仅满足大多数Gat eOne/%SESSI ON%/%SHORT_SOCKET%’ --SSHfp 情况下的安全运维需求而且还具有以下一些主要特-a ‘-oUserKnownHostsFile=%USERDIR%/%USER%/ 性。
SSH/known_hosts’ ” 一是GateOne软件结合了软件终端的功能运维ca_certs=None 人员只需要通过客户端的浏览器就能实现远程设备的js_init= “” 管理操作无须使用其他终端软件来开展运维操作。keyf ile= “keyfile.pem” 二是Gat eOne软件属于开源软件无须支付任何费用log_fi l e_prefix = “/opt/Gat eOne/logs/webserver. 在无须增加成本的情况下就能实现堡垒机的基本log” 功能增强网络和主机设备的运维安全性。 三是
四Gat eOne堡垒机系统应用效果Gat eOne堡垒 GateOne软件部署的堡垒机系统基本能够满足
机部署后运维人员不能直接访问网 日常运维安全审计“事前预防、事中控制、事后审计”的络或主机设备只能通过客户端借助浏览器以HTTPS 需求。
方式打开Gat e On e终端输入Gat e On e堡垒机系统上 四是Gat eOn e软件源代码公开可以对Gat eOn e软开 件进行二次开发增加个性化功能和增强堡垒机的安
RAKsmart 商家这几年还是在做事情的,虽然他们家顺带做的VPS主机并不是主营业务,毕竟当下的基础云服务器竞争过于激烈,他们家主营业务的独立服务器。包括在去年开始有新增多个数据中心独立服务器,包括有10G带宽的不限流量的独立服务器。当然,如果有需要便宜VPS主机的他们家也是有的,比如有最低月付1.99美元的美国VPS主机,而且可选安装Windows系统。这里商家有提供下面六款六月份的活动便宜V...
pacificrack官方在搞2021年七夕促销,两款便宜vps给的配置都是挺不错的,依旧是接入1Gbps带宽,KVM虚拟、纯SSD raid10阵列,支持包括Linux、Windows 7、10、server2003、2008、2012、2016、2019在内多种操作系统。本次促销的VPS请特别注意限制条件,见本文末尾!官方网站:https://pacificrack.com支持PayPal、支...
需要提前声明的是有网友反馈到,PacificRack 商家是不支持DD安装Windows系统的,他有安装后导致服务器被封的问题。确实有一些服务商是不允许的,我们尽可能的在服务商选择可以直接安装Windows系统套餐,毕竟DD安装的Win系统在使用上实际上也不够体验好。在前面有提到夏季促销的"PacificRack夏季促销PR-M系列和多IP站群VPS主机 年付低至19美元"有提到年付12美元的洛杉...