堡垒机介绍
在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。
比较优秀的开源软件jumpserver,认证、授权、审计、自动化、资产管理。
商业堡垒机:齐治,Citrix XenApp
搭建简易堡垒机
具备堡垒机的条件是,该机器有公司和私网,其中私网和机房其他机器互通
设计堡垒机思路
跳板机安全设置(iptables端口限制、登录限制sshd-config)
用户、命令权限限制(iailkit)http://blog.chinaunix.net/uid-28310119-id-3503318.htm
客户机器日志审计t http://www.68idc.cn/help/server/1inux/2014042190951.html
搭建简易堡垒机 - jailkit chroot
源码安装jailkit
cd /usr/local/src/ wget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2 tar -jxvf jailkit-2.19.tar.bz2 cd jailkit-2.19/ yum install gcc -y ./configure make && make install
创建虚拟系统的根目录,并把常用命令添加到虚拟系统的根目录下
jk_init -v -j /home/jail/ basicshell jk_init -v -j /home/jail/ editors jk_init -v -j /home/jail/ netutils jk_init -v -j /home/jail/ ssh ]# cd /home/jail/ ]# ls bin dev etc lib64 usr
创建用户
]# useradd zhangsan;echo '123456' | passwd --stdin zhangsan 更改用户 zhangsan 的密码 。 passwd:所有的身份验证令牌已经成功更新。
创建sbin目录,拷贝虚拟系统 shell
]# mkdir /home/jail/usr/sbin ]# cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh
刚刚创建的用户更改为虚拟系统用户
[root@test1 jail]# jk_jailuser -m -j /home/jail zhangsan [root@test1 jail]# cat /home/jail/etc/passwd root:x:0:0:root:/root:/bin/bash zhangsan:x:1001:1001::/home/zhangsan:/usr/sbin/jk_lsh
修改虚拟用户登陆 shell
]# sed -ir '/^zhangsan/s@/usr/sbin/jk_lsh@/bin/bash@' /home/jail/etc/passwd ]# cat /home/jail/etc/passwd root:x:0:0:root:/root:/bin/bash zhangsan:x:1001:1001::/home/zhangsan:/bin/bash
安全优化
# 只允许密钥登陆 vim /etc/ssh/sshd_config PasswordAuthentication no # 添加规则 iptables 略 # 允许哪些ip 链接 vim /etc/hosts.allow sshd: 172.16.0.20/24 1.1.1.1 # ssh 除了允许ip之外的ip都拒绝 vim /etc/hosts.deny sshd: ALL
# 服务器设置 只允许从那天跳板机登陆过来
vim /etc/hosts.allow sshd: 172.16.0.20 # 跳板机 IP
vim /etc/hosts.deny
sshd: ALL
日志审计