本文目录:
- 1、企业可以自己搭建堡垒机吗?如何搭建堡垒机?
- 2、阿里云上怎么使用堡垒机?
- 3、利用阿里云ECS跳板机内网穿透- ssh
企业可以自己搭建堡垒机吗?如何搭建堡垒机?
可以的。
一、企业为什么要搭建堡垒机?
企业目前的运维操作流程类似一个“黑盒”,我们并不清楚当前运维人员或代维工程师正在进行哪些运维操作,在哪台设备上执行操作,操作是哪一位来执行,而企业搭建堡垒机的主要目的在于让远程运维操作管理实现按用户授权、事中录像监控、事后指令审计,保证企业数据安全。
二、企业如何搭建堡垒机?
下面以某开源堡垒机搭建为例:
1、准备 Python3 和 Python 虚拟环境
①安装依赖包
②编译安装python3
③建立 Python 虚拟环境
2、安装堡垒机
①下载或 Clone 项目
②安装依赖 RPM 包
③安装 Python 库依赖
④安装 Redis
⑤创建数据库 堡垒机 并授权
⑥修改 堡垒机 配置文件
⑦生成数据库表结构和初始化数据
⑧运行堡垒机
3、安装 SSH Server 和 WebSocket Server: Coco
①下载或 Clone 项目
②安装依赖
③查看配置文件并运行
④测试连接
4、安装 Web Terminal 前端: Luna
5、配置 Nginx 整合各组件
对于中小企业来讲,虽然搭建开源堡垒机能够满足最最基本的企业的安全需求,但是开源堡垒机需要专人进行安装维护和二次开发,而开发堡垒机这个人必须非常熟悉Linux、公司业务而且还要会Python,这个专业的运维人员成本不亚于购买商用堡垒机。此外如果企业不想自己雇佣高成本的运维人员,也可以联系开源堡垒机厂商进行维护更新和二次开发,这部分费用也不亚于购买商用堡垒机。从这个角度讲,开源堡垒机并不等同于免费堡垒机,后期成本可能远远高于商用堡垒机,对开源堡垒机厂商还没有任何责任约束。
因此企业必须综合考量企业安全运维需求与企业实力,如果企业实力雄厚,可以让自己的开发团队独立自主的开发堡垒机,当然也可以购买价格高昂的硬件堡垒机。如果是创业企业或者中小企业,建议购买云堡垒机,行云管家云堡垒机是市面上首款也是唯一一款支持Windows2012/2016系统操作指令审计的堡垒机,SaaS版云堡垒机一年的费用比企业前台月薪还要低,私有部署版堡垒机终身使用版比一个运维工程师的年薪低。
阿里云上怎么使用堡垒机?
堡垒机是阿里云提供的核心系统运维和安全审计的管控平台,可集中管理资产权限,全程管控操作行为,实时还原运维场景,保障云端运维行为身份可鉴别、权限可管控、操作可审计,解决众多资产难管理、运维职责权限不清晰以及运维事件难追溯等问题, 助力企业满足等保合规需求。

0:00
/ 2:47



为什么选择堡垒机?
选择堡垒机,您可以轻松构建具有以下优势的核心系统运维和安全审计的管控平台:
运维入口统一
堡垒机可实现对多账号进行统一收口,员工可通过单点登录,一站式访问后端庞大服务器资源,在高效运维的同时,避免多资源账号密码易遗忘、多人知晓密码信息易泄漏等风险。
身份双因子认证
堡垒机提供双因子认证功能,可通过动态密码或短信认证方式再次进行身份鉴别,防止非法用户通过窃取账号密码,对资产进行仿冒登录、非法访问。
权限细粒度划分
堡垒机可以细粒度的给用户分组分权,如限制文件上传、下载、创建等,在最小化权限的基础上,实现最灵活配置控制。
高危行为自动阻断
堡垒机可以对敏感的高危命令,如删除数据(rm -rf /*)、格式化等高度敏感操作进行实时自动阻断,防止重大误删事件发生。
溯源审计可视化
堡垒机采用可视化审计记录,通过直观录播的方式真实还原全行为场景,对安全事件进行高效取证追踪。
支持的版本
针对用户场景、需求的不同,堡垒机提供了基本版和高可用版两个版本:
基础版
基础版具备基础的运维审计能力,如双因子认证、运维授权、高危命令阻断、运维审计等功能,可满足中小企业的基础运维安全及网络安全等级保护制度合规需求。
高可用版
高可用版适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、技术开发等。
高可用版除具有更高的基础配置外,还可满足更高的业务安全需求:
更高业务稳定保障,双引擎架构,双活运行,SLA可达99.95%。
更高的处理性能,可运维的资产数量超过500台(基础版的上限),最多可以支持上万台。
更丰富的运维能力,如支持WebTerminal运维能力、定期轮转提升密码安全性的自动改密能力。
更充足的带宽和存储空间,带来更优质的运维服务体验。
基础版和高可用版的详细区别,请参见功能特性。
利用阿里云ECS跳板机内网穿透- ssh
背景:
暴露私网的一台机器,公网可访问。由于坑爹的电信没有给固定的公网IP,所以没法在路由器上配置公网转发。
网上google后,发现ssh的强大,一条命令搞定。
工作原理:
1、本地主机和远程主机建立连接;
2、远程主机上分配了一个 socket 侦听 port 端口;
3、远程端口上有了连接, 该连接就经过安全通道转向本机的端口。备注:root 登录远程主机才能转发特权端口。
在内网机器上执行上述命令后,netstat可以看见本机和远程机器已建立ssh的链接。
登录远程机器查看
此时在远程机器直接ssh本机的2222端口,就可以访问内网机器了。
似乎这里一切OK,但是我们需要的是一台跳板机。当换一台其他的ECS连接远程的机器后,发现链接拒绝。其实留心下就发现了,上面lsof查看的时候,监听的是localhost,其他机器当然无法访问了。可是我们的ssh参数中明明有-g选项,-g就是明确允许远程机器可以远程访问啊。
google后发现,运程机器的ssh还需要开启GatewayPorts yes
然后在内网机器重新执行上述命令,这里在远程机器上查看,监听的是公网IP,OK了。
现在可以在可访问远程机器的PC上,ssh 2222端口,从而访问内网的机器了。
本文来源:https://www.yuntue.com/post/87587.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
