由于來源身份不明、越權(quán)操作、密碼泄露、數(shù)據(jù)被竊、違規(guī)操作等因素

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：域名申請、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、咸寧網(wǎng)站維護、網(wǎng)站推廣。

都可能會使運營的業(yè)務(wù)系統(tǒng)面臨嚴重威脅，一旦發(fā)生事故，如果不能快速定位事故原因，運維人員往往就會背黑鍋。

幾種常見的背黑鍋場景

1、由于不明身份利用遠程運維通道***服務(wù)器造成業(yè)務(wù)系統(tǒng)出現(xiàn)異常

      但是運維人員無法明確***來源，那么領(lǐng)導(dǎo)很生氣、后果很嚴重

2、只有張三能管理的服務(wù)器，被李四登錄過并且做了違規(guī)操作

      但是沒有證據(jù)是李四登錄的，那么張三只能背黑鍋了。

3、運維人員不小心泄露了服務(wù)器的密碼。一旦發(fā)生安全事故，那么后果不堪設(shè)想。

4、某服務(wù)器的重要數(shù)據(jù)被竊。但是數(shù)據(jù)文件無法挽回，那么面臨的是無法估量的經(jīng)濟損失

背黑鍋的原因

其實運維工作，出現(xiàn)各種問題是在所難免的
不僅要有很好的分析處理能力，而且還要避免問題再次發(fā)生。要清楚認識到出現(xiàn)問題的真實原因：

1、沒有規(guī)范管理，人與服務(wù)器之間的界限不清晰

2、沒有實名機制，登錄服務(wù)器前沒有實名驗證

3、沒有密碼托管，服務(wù)器的密碼太多，很難做到定期修改，自己保管怕丟失

4、沒有操作預(yù)警，對高危、敏感的操作無法做到事前防御

5、沒有傳輸控制，對重要服務(wù)器無法控制文件傳輸

6、沒有回溯過程，不能完整還原運維過程

解決背黑鍋的必殺技

作為運維人員，如何擺脫以上背黑鍋的尷尬局面呢？也許堡壘機是一個破解此局面的必殺技。

1、統(tǒng)一入口、規(guī)范管理

提供統(tǒng)一入口，所有運維人員只能登錄堡壘機才能訪問服務(wù)器，梳理“人與服務(wù)器”之間的關(guān)系，防止越權(quán)登錄

2、利用手機APP動態(tài)口令等驗證機制

采用手機APP動態(tài)口令、OTP動態(tài)令牌、USBKEY、短信口令等雙因素身份實名鑒別機制

防止密碼被暴力破解，解決訪問身份模糊的問題

3、托管服務(wù)器密碼，實現(xiàn)自動改密

通過堡壘機定期自動修改服務(wù)器的密碼，解決手工修改密碼、密碼泄露和記住密碼的煩惱。

1、可自動修改Windows、Linux、Unix、網(wǎng)絡(luò)設(shè)備等操作系統(tǒng)的密碼

2、可以設(shè)置周期或指定時間執(zhí)行改密任務(wù)

3、可設(shè)定密碼的復(fù)雜度、隨機密碼、指定密碼、固定密碼格式等

4、可通過郵件、SFTP、FTP方式自動發(fā)送密碼文件給管理員

5、提供密碼容錯機制：改密前自動備份、備份失敗不改密、改密后自動備份、自動恢復(fù)密碼等

4、事中控制，防止違規(guī)操作

作為運維人員，如何擺脫以上背黑鍋的尷尬局面呢？也許堡壘機是一個破解此局面的必殺技。

1、通過命令控制策略，攔截高危、敏感的命令

2、通過命令審核策略，審批需要執(zhí)行但又不能隨意執(zhí)行的命令

3、通過文件傳輸控制策略，防止數(shù)據(jù)、文件的泄露

5、精細化審計，追溯整個運維過程

堡壘機要做到文件記錄、視頻回放等精細化完整審計，快速定位運維過程：

1、不僅要對所有操作會話的在線監(jiān)控、實時阻斷、日志回放、起止時間、來源用戶

來源地址、目標地址、協(xié)議、命令、操作(如對文件的上傳、下載、刪除、修改等操作等)等行為記錄。

2、還要能保存SFTP/FTP/SCP/RDP/RZ/SZ傳輸?shù)奈募?/p>

為上傳惡意文件、***、竊取數(shù)據(jù)等危險行為起到了追蹤依據(jù)。

下面就說說堡壘機的具體安裝部署

Jumpserver 是一款由Python編寫開源的跳板機(堡壘機)系統(tǒng)，實現(xiàn)了跳板機應(yīng)有的功能

基于ssh協(xié)議來管理，客戶端無需安裝agent

特點：

完全開源，GPL授權(quán)
python編寫，容易再次開發(fā)
實現(xiàn)了跳板機基本功能，認證、授權(quán)、審計
集成了Ansible，批量命令等
支持WebTerminal
Bootstrap編寫，界面美觀
自動收集硬件信息
錄像回放
命令搜索
實時監(jiān)控
批量上傳下載

jumpserver 3.0 安裝

相對于 jumpserver 2.0 版本，在新的版本 3.0 中取消了LDAP授權(quán)，取而代之的是ssh進行推送；界面也有所變化

功能更完善，安裝更簡單，不像 2.0 的版本，難住了好多人。下面通過兩臺主機來搭建 jumpserver堡壘機！

環(huán)境：
Centos 6.5 x86_64
關(guān)閉 iptables，關(guān)閉 selinux
jumpserver：192.168.1.200
clients：192.168.1.210
ps：操作只針對 jumpserver，clients 不會進行操作，只是環(huán)境需求。

一、安裝依賴包
yum -y install epel-release
yum clean all && yum makecache
yum -y update
yum -y installGit python-pipMySQL-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel

二、下載 jumpserver  
cd /opt
git clonehttps://github.com/jumpserver/jumpserver.git
注： 如果下載失敗，則去github上面下載zip包，unzip解壓縮即可

三、執(zhí)行快速安裝腳本
cd /opt/jumpserver/install

pip install -r requirement.txt

查看安裝的包
pip freeze

python install.py
輸入jumpserver的地址，默認為：”192.168.1.200”，回車即可。
是否安裝mysql：選擇”y”進行安裝

MySQL 啟動后會要求用戶輸入 郵件服務(wù)器及賬戶

（后期用來發(fā)送用戶名、ssh pass、web pass、ssh key）

輸入smtp信息之后發(fā)現(xiàn)報錯了，是python的pycrypto模塊問題，需要卸載重裝：
pip uninstall pycrypto
easy_install pycrypto

安裝之后繼續(xù) python install.py 進行安裝，并且輸入 web管理員用戶名和管理員密碼，ok

四、運行 crontab

定期處理失效連接，定期更新資產(chǎn)信息
cd /opt/jumpserver
python manage.py crontab add

注：
1）根據(jù)提示輸入相關(guān)信息，完成安裝，安裝完成后，請訪問web，繼續(xù)查看后續(xù)文檔
2）如果啟動失敗，請返回上層目錄，手動運行 ./service.sh start 啟動
3）如果 ./service.sh start 啟動失敗 

cd /opt/jumpserver
python manage.py runserver 0.0.0.0:80  
python run_websocket.py 

4）如果啟動失敗，可能是由于80端口和3000端口已經(jīng)被占用，或者數(shù)據(jù)庫賬號密碼不對，請檢查

五、Web登錄
http://192.168.1.200

注意：
在使用jumpserver過程中，有一步是系統(tǒng)用戶推送，要推送成功，client（后端服務(wù)器）要滿足以下條件：
1）后端服務(wù)器需要有python、sudo環(huán)境才能使用推送用戶，批量命令等功能
2）后端服務(wù)器如果開啟了selinux，請安裝libselinux-python

六、更新代碼
cd /opt/jumpserver
git pull