谈谈搭建堡垒机的几条原则

原创 2017年12月14日 00:00:00

640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1


总结一下这几年使用堡垒机的经验教训,和大家做一个分享,无论是使用自建堡垒机还是采用一些商用方案,通用的原则是不会变的。希望对大家有所帮助,如果有遗漏的地方,欢迎补充和指教。


原则1:一要建立个人帐号的概念,必须做到一人一个帐号,绝不允许多个人共用个人帐号,更不能允许共同账号登录堡垒机。


原则2:从本机到服务器上每一道防线的安全等级应该是等同的。一定一定不要出现登录跳板机有很强大的管控,但是到了业务服务器上就是人root或者拥有sudo权限类似的情况。


原则3:必须要有操作日志,记录每一条操作或者记录登录到堡垒机后所有的输出。特别是危险的操作,除了直接禁止掉,同时必须要报警出来。


原则4:身份验证,杜绝使用密码登录,建议使用个人token+动态密码的方式。对登录的机器需要做物理验证,身份需要手机动态码验证。


原则5:用户授权,建议结合公司内部CMDB来做到一一对应,不同的岗位对于不同的权限,不建议手动去维护,会出现权限维护不及时。


原则6:网络隔离堡垒机本身只有公司内网才能访问。进一步的,做到环境隔离,例如,生产环境和测试环境隔离;同时做到业务之间的隔离,不同业务线的机器是不能相互访问。


原则7:高可用,堡垒机本身的高可用需要重点关注,做好定时备份和应急处理,报警机制必须要有,需要运维专人专岗来维护。



扫描二维码或手动搜索微信公众号【架构栈】: ForestNotes

欢迎转载,带上以下二维码即可

                     640?wx_fmt=jpeg

版权声明:本文为博主原创文章,未经博主允许不得转载。

开源jumpserver 堡垒机搭建

一、环境  CentOS 6.x x86_64 mini  service iptables stop 关闭SELinux的方法: 修改/etc/selinux/config文件中的SELINUX=”...
  • linuxlsq
  • linuxlsq
  • 2016年09月22日 20:17
  • 2236

vpn与堡垒机的关系

之前在公司一直都不是特别明白vpn与堡垒机之间的关系,今天我们就来介绍一下这二者之间的关系 vpn 1、vpn从简单的意义上来说就是个代理,帮你绕过一些防火墙,打开一些平常你访问不了的网站。 2、vp...
  • wj123446
  • wj123446
  • 2017年02月06日 19:32
  • 1504

Ajaxterm + nginx 实现一个简单的堡垒机

首先感谢老男孩提供Ajaxterm修改本,他修改了Ajaxterm中ajaxterm.py,使得Ajaxterm 能记录历史命令,该记录保存在Ajiaxterm目录当中。 原理:Ajaxterm ...
  • zhang19771105
  • zhang19771105
  • 2016年01月11日 15:52
  • 757

堡垒机开发环境部署说明

堡垒机开发环境部署说明   一.麒麟开源堡垒机设置部署说明: 开发环境主要使用开发人员的PC或笔记本终端进行开发,开发完成后,将代码交付相应的负责人,负责人编译测试后,将代码上传到CVS备份,将...
  • xixiao21
  • xixiao21
  • 2016年07月07日 14:27
  • 1627

堡垒机(跳板机)

堡垒机(跳板机)? 现在一定规模互联网企业,往往都拥有大量服务器,如何安全并高效的管理这些服务器是每个系统运维或安全运维人员必要工作。现在比较常见的方案是搭建堡垒机环境作为线上服务器的入口,...
  • zh521zh
  • zh521zh
  • 2016年05月24日 13:59
  • 913

Centos 7安装配置jumpserver堡垒机

docker封装操作 前言:    由于如果有人需要使用服务器的话,不巧没有批量管理工具,此时就需要手动为他们在服务器添加账号。当然服务器的数量比较少还好,但是一旦多起来(服务器+需求者),这个任...
  • zhao1955
  • zhao1955
  • 2017年12月09日 17:26
  • 304

麒麟开源堡垒机维护手册

1 用户手册概述 本手册为堡垒机运维系统维护手册,适用于没有任何堡垒机使用经验的用户。本手册假设阅读者拥有堡垒机的全部权限。 1.1 如何阅读本手册 如果已经有过堡垒机使用经验,可选取您感兴趣的...
  • linziyuan008
  • linziyuan008
  • 2016年06月17日 13:39
  • 1004

堡垒机工作原理

1 前言 运维堡垒机,主要功能为认证、授权、审计,而各厂商又略有不同,麒麟开源堡垒机是一套完整的开源堡垒机系统,具有通用商业堡垒机所有功能模块,安装方便,使用简单,整体性能、易用性都与商业硬件堡垒机...
  • xixiao21
  • xixiao21
  • 2016年07月07日 14:25
  • 2654

为什么要用堡垒机,堡垒机能给公司带来什么?

在当今信息时代,企业信息系统最大的软肋,就在内网服务器等核心设备,企业面临最大信息安全威胁,依然是源自内部人员对于内部网络资源设备的攻击,和对于内部机密数据文档的窃取。堡垒机综合了运维管理和安全性的融...
  • ios_xumin
  • ios_xumin
  • 2017年06月19日 14:27
  • 471

python——堡垒机

项目实战:运维堡垒机开发     前景介绍 到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个...
  • opera95
  • opera95
  • 2017年05月31日 21:14
  • 336
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:谈谈搭建堡垒机的几条原则
举报原因:
原因补充:

(最多只允许输入30个字)