概述
最近领导的一个要求是建立一个堡垒主机平台,因为公司的生产和测试环境有直接的本地连接,没有审计控制。第一阶段从开源堡垒主机开始。所以它看起来像这样:我们主要介绍开源堡垒主机。
01
Jumpserver
GitHub: https://github.com/jumpserver/jumpserver
Jumpserver是全球首个完全开源的堡垒机,采用GNU GPL v2.0开源合约,是符合4A标准的专业运维审计系统。
Jumpserver采用Python/Django开发,遵循Web 2.0规范,拥有业界领先的Web终端解决方案,交互界面美观,用户体验良好。
Jumpserver采用分布式架构,支持多个机房跨区域部署。中心节点提供API,每个机房可以部署一个登录节点。此外,没有并发访问限制。
Jumpserver 现在支持管理SSH、Telnet、RDP 和VNC 协议资产。
02
Teleport
GitHub: https://github.com/eomsoft/teleport
Teleport是初为软件开发的一款简单易用的堡垒主机系统,结构紧凑、简单易用,支持RDP和SSH协议跳转。
传送由两部分组成。
Springboard核心服务WEB操作界面Teleport非常小,易于安装和部署。安装和部署您自己的堡垒主机系统只需一分钟。
Teleport 包含必要的脚本引擎、Web 服务和其他模块,使得系统范围内的安装和部署非常方便,无需安装任何其他额外的库或模块。
它具有以下特点:
它非常容易部署,设计简单,紧凑灵活,并且没有额外的依赖项,因此您可以在5 分钟内安装、部署并开始使用它。 安全增强配置远程主机仅通过远程传送服务器连接,有效降低嗅探、扫描、暴力破解等攻击风险。 单点登录允许您只需登录Teleport 服务器即可一键连接到远程主机。无需记住每个远程主机的密码。 按需授权允许指定的运维人员随时访问指定的远程主机,并且可以随时撤销授权。只需点击几下即可。 运维审计通过记录远程主机的详细操作,并支持操作记录的记录和回放,减轻审计工作的负担。
03
GateOne
GitHub: https://github.com/liftoff/GateOne
GateOne是一款基于HTML5的开源终端仿真器/SSH客户端,具有强大的插件功能。所包含的插件使其成为一个出色的SSH 客户端,但它也可用于运行任何终端应用程序。用户可以将GateOne集成到其他应用中,提供多种终端接入接口。它还支持各种基于Web的管理界面。
04
CrazyEye
CrazyEye是一款基于Python开发的简单易用的IT审计堡垒机。修改本机SSH代码会阻止用户登录堡垒机后的所有命令操作。实时捕获并写入审核日志以供以后审核。 目前,CrazyEye主要实现了以下功能:
最底层的用户行为审计使用原生SSH。这不会影响用户体验,也不会牺牲SSH 体验。它还支持主机的分组管理,可以为运维人员分配指定服务器的操作权限和指定帐户的操作权限。开源主机建议使用Jumpserver,因为可以记录用户可以登录的生产服务器数量以及用户登录后的权限,以供将来审核。可以进行批量操作,但没有集成一些常用工具,例如数据库。另外,上传下载功能有点笨拙,需要二次开发。稍后我会介绍搭建跳转服务器的具体过程,有兴趣的请关注。
原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83440.html
