一、背景
上一篇文章介绍了“Jumpserver开源堡垒机的LDAP同步配置和MFA多因子认证功能的优化”收到一位小伙伴的私信感觉他对堡垒机的概念都不是那么的清晰,那可不就是曾经第一次接触堡垒机的我吗,于是我便想再写点什么。
我们都知道堡垒机的最大作用其实是是保障网络和数据不受外部入侵和内部破坏,通过对运维操作进行集中管理,实现对运维人员的身份鉴别、权限控制和操作行为审计。通过堡垒机,可以监控运维人员对资源(主机/网络设备/数据库/安全设备)的操作行为,以便集中报警、及时处理和审计定责。堡垒机能够解决“运维混乱”的问题,让运维有序,并提高运维安全。
说白了就是限制数据访问源,并且对授权后的用户的行为进行控制审计(如拒绝高危命令rm、reboot等,以及对你的所有操作都进行录像监控处理),以保障数据的安全性,防止你删库跑路。
除了上述的正常场景外,其实它还可以给我们的日常运维和业务需求的管理提供更多的便利性。这当然也是我使用Jumpserver的原因之一。下面我将介绍一下我所能想到的并且公司正在使用的**应用场景**!
二、应用场景
场景一
信息部管理员或者是第三方厂商人员需要远程管理服务器进行调试
通过堡垒机可以使用RDP或者SSH的方式可以远程管理我们的服务器、数据库与网络安全设备等(这也是应用最广的一个场景了,在此就不过多介绍了)
场景二
** 公司内普通用户特殊内网访问需求**
公司办公设备内外网隔离,但是同时外网的电脑可能偶尔又有访问内网资源的需求,然后根据最小权限开放原则,又不想针对此类业务单独开放安全策略,于是为了做好权限控制我们选择了让用户通过堡垒机访问到内网的一台服务器,通过这台服务器给用户提供内网资源,这样既满足了用户的需求,又保障了安全性。
场景三
代替SSLVPN实现远程访问内网资源
我们都知道有些内网资源(如我们的web网管平台ADcampus)可能因为某些原因不允许做NATserver让你在外网访问,但是又需要有应急通道保障在特定场景下可以访问。
如果你们也很穷没有VPN设备也没有授权,那或许你也可以和我们一样通过Jumpserver解决你的困扰。然后在出口设备针对Jumpserver做外网映射,顺便加个域名解析,让你可以在公网用域名进行访问Jumpserver进而实现访问内网资源。
有人可能会觉得你这是在脱了裤子放屁多此一举,但其实不是的,因为你现在是只做一个jumpserver的外网映射就可以实现访问内网所有的资源,而不需要将你需要访问的所有内网资源都去做外网映射暴露在公网。
三、解决方案
针对以上三个场景我们都给出了相应的解决方案,当然主要可能还是大概讲了一个思路过程,具体配置的话还是得需要参考官网的文档手册。
场景一解决方案
通过堡垒机可以使用RDP或者SSH的方式可以远程管理我们的服务器、数据库与网络安全设备等,原文链接。
1、在资产管理添加你需要远程访问的资源Windows/Linux等
2、在账户管理添加系统账户
3、在权限管理新增资产授权,控制哪个账户可以访问哪些资源
4、通过web终端实现资源访问
具体的配置案例可参考官方文档,我在此仅作简单介绍
场景二解决方案
1、按场景一解决方案说明新增一台Windows server 2016服务器;
2、服务器新增多个系统账号设置允许多账户同时登录,避免出现多个账户同时在线挤掉对方的情况;
3、为避免不同的堡垒机用户同时使用访问同一个window系统账号,授权方式选择(手动账号)让用户自行填写账号密码
场景三解决方案
如果对于需要访问很多内网资源的用户,我们可以按场景二解决方案的形式进行资产授权;
如果对于**只是需要访问某个web服务的用户**,我们可以采用应用授权的形式,具体操作如下(具体的配置案例可参考官方文档,我在此仅作简单介绍):
1、资产管理新增web资源URL,以vsphere管理平台为例
2、在系统设置-远程应用-市场应用下载并上传Firefox浏览器
(我使用谷歌浏览器的时候出现了错误,页面无法加载,原因暂时未知,因此建议使用火狐浏览器)
3、添加应用发布机
添加的时候注意协议端口(我的远程端口重新设置了不是默认的3389)
Core服务地址要修改成你生产使用的地址
4、部署并发布应用即可
5、访问效果
四、总结
但其实我发现他这个应用发布的实现方式,好像就是还是通过rdp的方式远程到了服务器,然后给你打开了火狐浏览器帮你在导航栏输入了你的web资源url,只是给你做了背景隐藏,无法操作服务器的其他任何东西,所以如果你此时最小化浏览器界面,那么你将无法再找到这个页面了,希望后续官网可以优化此功能吧!
总而言之,勉强能用!
以上大概就是我为什么要使用Jumpserver的原因吧。
另外相比于商业堡垒机,开源堡垒机可以大大降低企业的采购成本。由于源代码公开,企业可以根据自身需求进行定制化开发,避免了不必要的费用支出。同时,由于开源社区的活跃度较高,企业可以从中获取到丰富的技术支持和经验分享,降低了维护成本。
还有就是Jumpserver的部署过程相对简单,企业可以根据官方文档或社区支持快速完成部署工作。同时,Jumpserver提供了友好的管理界面,使得管理员可以方便地进行设备管理、用户管理、策略配置等操作。这大大降低了企业的部署和管理成本。
好了
今天的分享就到这里了
下一次不知道什么时候见了
主打的就是一个随心所欲
不过倒是想研究一下开源网盘nextcloud的域账号认证,且自助通过邮箱账户重置域账户密码
下篇文章见吧!
原文链接
版权归原作者 你吃西瓜我吃皮 所有, 如有侵权,请联系我们删除。