一、堡壘機(jī)介紹
讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴,公司提供的服務(wù)項(xiàng)目有:域名注冊(cè)、虛擬空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、西充網(wǎng)站維護(hù)、網(wǎng)站推廣。
在一個(gè)特定網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受外界破壞,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。
我們又把堡壘機(jī)叫做跳板機(jī),簡(jiǎn)易的跳板機(jī)功能簡(jiǎn)單,主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計(jì)。
比較優(yōu)秀的開源軟件jumpserver,它的功能主要為認(rèn)證、授權(quán)、審計(jì)、自動(dòng)化、資產(chǎn)管理。
商業(yè)堡壘機(jī):齊治, Citrix XenApp。
二、搭建簡(jiǎn)易堡壘機(jī)
比較適合小型的企業(yè),公司沒多少機(jī)器,但是為了登錄,安全,可以搭建一個(gè)簡(jiǎn)單的堡壘機(jī)(跳板機(jī))。
功能:登錄公司內(nèi)網(wǎng)服務(wù)器,查找,審計(jì)你登錄到機(jī)器里做了哪些操作。
具備堡壘機(jī)的條件是,該機(jī)器有公司和私網(wǎng),其中私網(wǎng)和機(jī)房其他機(jī)器互通(局域網(wǎng))。
設(shè)計(jì)堡壘機(jī)思路:
跳板機(jī)安全設(shè)置(iptables端口限制、登錄限制sshd_config)
用戶、命令權(quán)限限制(jailkit) http://blog.chinaunix.net/uid-28310119-id-3503318.html
客戶機(jī)器日志審計(jì),唯一的不足是不能在跳板機(jī)上做,只能在客戶機(jī)上做。
http://www.68idc.cn/help/server/linux/2014042190951.html
三、安裝jailkit實(shí)現(xiàn)chroot
#?cd?/usr/local/src #?wget?https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2 #?tar?jxvf?jailkit-2.19.tar.bz2 #?cd?jailkit-2.19 #?./configure?&&?make?&&?make?install #?mkdir?/home/jail???//創(chuàng)建一個(gè)目錄,作為虛擬系統(tǒng)的根目錄
下面這四條命令就是把常用的一些命令、文件搞到虛擬系統(tǒng)的目錄里去。
#?jk_init?-v?-j?/home/jail/?basicshell????????//這條命令就是把shell相關(guān)的命令、庫文件搞到虛擬系統(tǒng)的根目錄下去。 #?jk_init?-v?-j?/home/jail/?editors???????????//編輯器vi,vim搞過去。 #?jk_init?-v?-j?/home/jail/?netutils??????????//網(wǎng)絡(luò)相關(guān)的。 #?jk_init?-v?-j?/home/jail/???ssh?????????????//遠(yuǎn)程登錄時(shí)用到的。 #?mkdir?/home/jail/usr/sbin #?cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh???//相當(dāng)于是虛擬系統(tǒng)的一個(gè)shell,把它復(fù)制過去。 1、#?useradd?zhangsan????//原系統(tǒng)創(chuàng)建一個(gè)用戶,如果需要?jiǎng)?chuàng)建多個(gè)用戶,就從這一步開始,執(zhí)行這四步:1-4。 2、#?passwd?zhangsan 3、#?jk_jailuser?-m?-j?/home/jail?zhangsan????//在虛擬系統(tǒng)里創(chuàng)建一個(gè)用戶 #?cd?/home/jail/ [root@wbs?jail]#?cat?etc/passwd??//虛擬用戶zhangsan root:x:0:0:root:/root:/bin/bash zhangsan:x:1122:1122::/home/zhangsan:/usr/sbin/jk_lsh //usr/sbin/jk_lsh這個(gè)shell是虛擬系統(tǒng)的shell,這個(gè)shell不能登錄,所以需要改成/bin/bash,這樣才能登錄虛擬用戶zhangsan 4、#?vim?/home/jail/etc/passwd?//把zhangsan那一行的/usr/sbin/jk_lsh改為/bin/bash #?ls?/home/jail/???//可以看到常用的命令,庫文件都在虛擬系統(tǒng)的根目錄下了。 bin??dev??etc??home??lib64??usr
新建一個(gè)會(huì)話窗口,IP即本機(jī)的IP,用戶名zhangsan,密碼zhangsan,登錄,會(huì)看到兩行“bash: /usr/bin/id: No such file or directory”,因?yàn)橐獔?zhí)行/etc/profile,在這個(gè)里面沒有這個(gè)命令,不用關(guān)心。
$ ls -l / ? ?//可以看到只有那6個(gè)目錄
按兩下Tab鍵可以看到只有117個(gè)可用的命令,就都是bin下的命令。
創(chuàng)建密鑰登錄,在.ssh目錄下添加密鑰,還需要在原系統(tǒng)的# vi /etc/ssh/sshd_config設(shè)定只允許密鑰登錄,將PasswordAuthentication yes改為no。
還要限定iptables規(guī)則,把不需要的端口全部限制,不用的服務(wù)關(guān)掉。
還要限定登錄的源IP: #?vi?/etc/hosts.allow 新增: sshd:?192.168.149.0/24?1.1.1.1?2.2.2.2 #?vi?/etc/hosts.deny?????//除了允許的網(wǎng)段和IP,其他的全部拒絕,這樣就可以增加機(jī)器的安全系數(shù)。 sshd:?ALL
四、日志審計(jì)
下面的操作是在客戶端上做的一些限制,限制來源IP。
到另一臺(tái)機(jī)器,先限制/etc/hosts.allow和deny
在hosts.allow里新增sshd: 192.168.149.133 ? ?(跳板機(jī)IP)
在hosts.deny里新增sshd: ALL
這時(shí)候再重新登錄這一臺(tái)機(jī)器就不能登錄了。
到zhangsan那一臺(tái)可以登錄:
# sshroot@192.168.149.129
這樣就做成了一個(gè)跳板機(jī)。
登錄對(duì)方用戶的時(shí)候用zhangsan,因?yàn)楝F(xiàn)在這臺(tái)機(jī)器是zhangsan,所以對(duì)方機(jī)器也需要?jiǎng)?chuàng)建一個(gè)zhangsan的用戶。
以下操作是需要在所有被登錄機(jī)器上做的
#?mkdir?/usr/local/records #?chmod?777?!$ #?chmod?+t?!$ #?vi?/etc/profile?//添加 ?if?[?!?-d??/usr/local/records/${LOGNAME}?]?????//logname,判斷登錄的用戶名。 then mkdir?-p?/usr/local/records/${LOGNAME} chmod?300?/usr/local/records/${LOGNAME}?????//指定這個(gè)用戶只能寫和執(zhí)行。 fi export?HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"???//指定一個(gè)記錄歷史命令的文件,下面的一條命令意思是將執(zhí)行的最后一條命令記錄到這個(gè)文件里去。 export?PROMPT_COMMAND='{?date?"+%Y-%m-%d?%T?#####?$(who?am?i?|awk?"{print?\$1\"?\"\$2\"?\"\$5}")?####?$(history?1?|?{?read?x?cmd;?echo?"$cmd";?})";?}?>>$HISTORY_FILE' 重新再登錄這臺(tái)機(jī)器 #?cd?/usr/local/records/ [root@MRX?records]#?ls root [root@MRX?records]#?cd?root/ [root@MRX?root]#?ls bash_history [root@MRX?root]#?tail?bash_history? 2019-10-01?19:32:06?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:19:58?vim?/etc/profile 2019-10-01?19:32:17?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:17?ls 2019-10-01?19:32:34?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:34?cd?/usr/local/records/ 2019-10-01?19:32:35?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:35?ls 2019-10-01?19:32:37?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:37?cd?root/ 2019-10-01?19:32:38?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:38?ls
這個(gè)不像系統(tǒng)里history,它只有在你正常退出這個(gè)終端后才會(huì)記錄這些命令,敲過的命令僅僅只是保存在內(nèi)存里的,并沒有記錄到文件里,要想記錄到文件里,必須要正常的退出,如果斷電了或者其他原因退出了,這些命令就記不進(jìn)去。但是這個(gè)日志審計(jì)就沒問題。
[root@MRX?root]#?useradd?zhangsan????//創(chuàng)建一個(gè)zhangsan用戶 [root@MRX?root]#?passwd?zhangsan
再到跳板機(jī)登錄它:
[zhangsan@wbs?~]$?ssh?zhangsan@192.168.149.129
//然后隨意執(zhí)行一些命令,再到客戶端上看,就可以看到zhangsan用戶敲過的命令。
[root@MRX?records]#?ls root??zhangsan
這種方法并不完美,是可以破解的,這只是一個(gè)簡(jiǎn)單的堡壘機(jī),要想做一個(gè)完美的堡壘機(jī),還需要借助一些專業(yè)的工具、軟件。