在分享之前,写一下近期的感受。后台收到了好多的朋友留言,看到码字的一些文章能够帮助到各位有时间看文章的朋友我也深感荣幸。也和关注的朋友开了腾讯会议,探讨了彼此双方所做的企业安全建设问题。总之一句话:"山河不在重,重在遇知己。"
在运维的日常工作中,登陆服务器操作不可避免,为了更安全的管控服务器,但凡有点规模的公司都会上线堡垒机系统,堡垒机能够做到事前授权、事中监控、事后审计,同时也可以满足等保合规要求。提到堡垒机,大伙第一时间能够想到的可能是JumpServer,JumpServer经过了多年的发展已经十分的稳定和成熟,是非常优秀的开源项目,被大家广泛所熟知,所以我今天就不写JumpServer了,介绍另一个最近体验到的亮点颇多的开源堡垒机:OneTerm
还在有粉丝朋友问,开源的能不能过等保的问题。请看一下我之前的文章,只要满足等级保护控制点的技术要求就可以。并不冲突的问题,就不赘述了。 OneTerm基于4A理念,即认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)设计开发,
主要用途:主要用于企业通过实现对IT人员操作行为的控制和审计来提升IT内部控制、合规安全性的产品。
主要功能:角色管理、授权审批、资源访问控制、会话审计等。 对于堡垒机的使用关键点:"对目标资产的运维路径的唯一性,当然有人说那万一出现问题以后,是不是资产都脱管那风险是很大的。出于"鸡蛋可以不放在一个菜篮子"的基础,可容许存在应急路径,需对应急路径上的行为进行审计,且账号可溯。通常我们通过网路安全访问策略控制路径的唯一性,也有通过防火墙的安全策略,云环境可以通过安全组策略。具体各位可根据自己实际情况进行对应的部署操作。
系统介绍
资产管理
接入时间的限制更是十分的灵活,不仅支持指定生效日期,同时也可以按照星期来配置生效时间,还支持选择某一天的某个时间段,非常强大
CMDB联动
添加资产树节点时设置的连接协议、账号授权、接入限制等配置可以直接作为节点下资源的默认配置,当在节点下新建资产时,会自动继承该节点的授权配置。
网关
OneTerm支持配置网关,网关功能解决了部分环境无法直接连接的问题,连接会将网关作为跳板连接到目标资产,这样可以覆盖一些复杂的网络环境,很有用。
安全
终端
网页Web登陆终端
会话审计
历史回话进行回放、下载以及执行命令查看等审计操作
日志审计
大盘
可以全面掌握系统情况,包括连接、资产、会话、用户、网关等信息,还是图表好看
敲重点
简洁且完善,专注堡垒机,堡垒机该有的都有,例如终端登陆,会话录像、实时监控、强制断开、网关、危险命令阻断等都是堡垒机必要等核心功能,没有其他乱七八糟跟堡垒机无关的功能,小巧易用
登录
ssh -p12229 admin@127.0.0.1 # 注意这里端口,用户,地址需要换成您当前环境的
免密登录配置
终端免密登录是为了增加安全性以及便捷性而设计
生成并获取公钥, 获取mac地址ssh-keygen -t ed25519 # 根据提示生成keycat /root/.ssh/id_ed25519.pub # 拷贝公钥, 公钥地址从上一步生成的过程中获取,如下图所示ifconfig | grep -B1 "xxx.xxx.xxx.xxx" | awk '/ether/{print $2}' # 获取mac地址, 其中xxx.xxx.xxx.xxx换成您本机的IP
将公钥和mac放在平台上
更精简的的登录方式
ssh oneterm要达到这种效果,可进行如下配置
-
创建ssh config文件
touch ~/.ssh/config
将以下内容添加到 ~/.ssh/config
Host oneterm HostName 127.0.0.1 # 此处替换为您oneterm的ssh server的地址 Port 12229 # 此处替换为您oneterm的ssh server的端口 User admin # 此处替换为您oneterm上的平台用户
如何部署,怎么下载:
最后附上项目Github地址:https://github.com/veops/oneterm
官方还提供有在线Demo可以体验,README有地址和账号密码,如果想要进社区微信群也可以直接私信我或者加README里的微信
在大环境不好的情况下,甲方网安人不易,没有预算,巧妇难为无米之炊。的确到了就是"盒子"买不起,只是开源更有性价比的处境了。换个角度来讲,技术本来就是为了提高生产效率,降低成本。按照圈内的降本增效,利用开源和二开,实现了盒子的功能,是不是也是为企业降低了成本,提高了效率。无疑也是甲方网安人的一个工作亮点。