标签:linux RoCE 网域 cto ext 显示 密码过期 vpd 查看
上一章节“centos7.4安装部署jumpserver(数据库外置)配置全过程--无问题”对jumpserver安装配置过程进行了详细的讲解,以及遇到的坑,本文主要集中讲解jumpserver在产品使用上的过程,并结合案例进行相关实战。作者也百度搜索过一些jumpserver操作手册,基本上复制jumpserver官网上的,对于jumpserver的产品设计理念、实战配置比较缺乏,这个也触发了笔者写这篇博文的冲动,废话不多说,开始下面的讲解。一、jumpserver设计理念
jumpserver的设计理念,其实本着服务器的安全管理,在日常工作中,大家登陆服务器,管理服务器都是通过账号密码,安全上通过调整密码的复杂度或者key文件的方式,亦或者定期修改密码等措施,一来加大了运维的工作,且这些工作都是重复,没有技术含量的重复工作,二来其安全性也不是确实安全,随着人员的移动,尤其云端的服务器,可以直接SSH,其安全性更让人担心了,作者认为,jumpserver设计理念有如下几点:
(1)、统一了服务器的密码管理,管理的服务器密码一致,且在使用的过程中,没有密码存在
(2)、网域的概念,保证了服务器安全登录,而不是直接暴露SSH服务器在公网中,增加授信的概念,当然也要借助防火墙或者安全组等相关概念
(3)、资源授权,将jumpserver管理权限和服务器的实例权限进行了映射。个人认为这块是jumpserver安全设计的核心,也是最亮的点。
上图是jumpserver权限管理核心,对于登录jumpserver的用户有三种角色:管理员、用户和审计员
(1)、用户角色登录后台只能看到web登录等相关页面,对于资产管理、权限管理都无法浏览
(2)、管理员可以看到后台的所有页面,一般是极个别运维管理员持有
(3)、审计员角色,作者没有用到,是用来做三元管理的,使用者,审计者和管理员
图右侧的用户是在服务器的用户,确切的说是Linux useradd添加的用户,是服务器实际的用户,在实际的过程中,建议三种用户权限:
(1)、sudo user,在服务器管理中不建议直接使用root,且应禁止root登录,类sudo用户具备root的权限,是服务器的管理者,一般是运维的权限
(2)、application user:是部署在服务器中使用的用户,一般程序用的是普通用户,但可以操作相关应用程序级别的权限,一般提供给应用所有者的负责人
(3)、readonly user:是只读服务器的权限,一般提供给技术查看日志使用。
二、jumpserver实战
场景:公司存在A、B、C三个产品线,都有部署各自的服务器ip1、ip2、ip3,公司存在登录三台服务器的网关gateway,IP地址gw1,所有的服务器都必须通过gateway进行SSH登录,绑定SSH白名单。因此有如下清单:
(1)、A、B、C产品线登录后台的账号各有2个,分别为:
A_admin:A产品线管理员账号
A_readonly:A产品线只读账号
B_admin:B产品线管理员账号
B_readonly:B产品线只读账号
C_admin:C产品线管理员账号
C_readonly:C产品线只读账号
(2)、ip1、ip2、ip3服务器存在3个可以SSH的用户,其中root禁止登录
yunwei_admin:可以sudo su - 且root,运维使用
app_admin:对应的是登录jumpserver后台的A_admin、B_admin、C_admin
user_readonly:对应的是登录jumpserver后台的A_readonly、B_readonly、C_readonly
1、jumpserver配置网域:网域其实就是跳板机的概念,建议所有的服务器SSH都设置网域,安全系数高,也是jumpserver的安全核心
(1)、资产管理--->网域列表---->创建网域
(2)、填写相关名字,资产可以先不选择
(3)、添加网关,网关是gateway的ip地址,且可以SSH到gateway
2、添加资产
(1)、创建资产树,资产数是管理服务器的设计核心,一个好的资产管理数,对于后续的管理维护是至关重要的。以下是我司的业务场景,仅供参考。
(2)、在指定的资产数叶子节点上添加资产
其中管理用户需要先添加,在资产添加的过程中是必填项。其含义是具备服务器的ALL权限,进行服务器的管理。
(3)、添加管理用户,注意:添加管理用户的账号密码要求在服务器中可以SSH,且具备ALL权限,否则会推送失败。
(4)、添加系统用户,此处添加yunwei_admin,app_admin,readonly用户,三个用户也要确保在服务器中的账号存在,认证方式可以是推送key文件,也可以设置密码,如果设置密码,要确保账号密码在服务器Ip1、ip2、ip3都能SSH登录。
添加完成我们可以通过web终端登录,如下图:
此处可以看到我们配置的资产数并没有在web终端中体现出来,其实就差最关键的一步,没有资产授权,在jumpserver中,没有经过资产授权的资产不会在web终端中显示。但个人觉得不好的是,这里没有提示,建议可以改进的地方是,对于部署完,没有进行资产授权,建议引导跳转至资产授权中,当然刚部署完的junpserver没有引导,这块也是感觉需要改进的
3、资产授权
资产授权是jumpserver安全管理的核心,在实际的过程中,admin授权和readonly授权是单独的,如下图
每个产品线都存在管理员授权和readonly授权,方便权限的分层管理
注意在资产授权的时候,一定要去选择资产,如果进行了如下操作,在节点中选择了default,将赋予了所有资产的权限,切记,这块会成为安全隐患。
三、jumpserver相关设置
jumpserver的系统设置--安全设置,建议打开密码校验,控制登录错误次数、密码过期设置等。
经过以上配置,即使公司人员离职,也不会影响服务器的安全,当然建议jumpserver不要暴露在公网可以直接登录,也是安全的考虑,如果有条件,可以设置jumpserver访问的白名单IP。
此时通过jumpserver的web终端就可以进行操作了
有一个小功能,右击指定的服务器:
再也不用担心记住账号密码了
标签:linux RoCE 网域 cto ext 显示 密码过期 vpd 查看
原文地址:https://blog.51cto.com/1864156/2479052
