从安全运维的角度来看,资源授权满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的 *** 作,所以团队成员在登录主机前、后,都处于行云管家堡垒机安全监管之下。在行云管家中,把这些安全性更高的主机叫做关键设备,展开菜单选择“安全审计/关键设备运维策略”,进入相应的策略功能设置。
关键配置
审计录像: 访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;
会话水印:行云管家堡垒机会话水印功能,是将访问该服务器的运维人员的账号等信息,以半透明水印的方式印在服务器远程桌面会话窗口上,当远程桌面会话窗口被录像、截屏、拍照,运维人员的信息也会被一并记录,方便事后回溯追责。
双因子认证:也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机 *** 作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等 *** 作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;
指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在 *** 作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。
指令审计角色:敏感指令如果触发的是审核 *** 作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行; 指令审核超时时长:敏感指令触发审核 *** 作时,如果在超时时长内未处理,指令将因超时被取消执行。个人认为还是软件堡垒机比较好,现在市面上的堡垒机大都是硬件产品形态,是把堡垒机软件灌装在服务器上进行销售。而碉堡直接提供软件,客户自己选用服务器承载,具有以下三方面优势。
优势一:客户可自己选用更稳定的、性能更高的服务器。
使用服务器算好的,出于成本考虑,有的厂商使用工控机。工控机主要用于网络层数据处理的(一般被防火墙产品选用),然而堡垒机是采取对运维 *** 作代理的原理工作的,是在应用层进行处理,工控机性能怎么能支撑住呢!
堡垒机厂商的硬件都是外购的,是白牌机,采用什么硬件时首先考虑的是硬件成本,所以硬件成本一般都不超过1万元。
优势二:大幅降低了客户购买堡垒机的成本。
堡垒机厂商选用服务器平台的逻辑是这样的:首先,看产品在市场上能卖多少钱;其次,看公司要从中赚多少利润;最后,决定选用什么价格的硬件。
在个别项目销售过程中,厂商会考虑相对于硬件成本的毛利率不能低于多少。因此,硬件已经成为堡垒机厂商牟利的工具、标尺,以及是获得高利润的挡箭牌!
现实世界是,我们大家在购买堡垒机时是为了对IT运维人员的远程 *** 作进行管理和审计,为了使用!
优势三:可以避免由于硬件故障导致的堡垒机无法使用。
硬件和软件整机购买的堡垒机一旦出现硬件故障,就必须退回厂商进行维修,维修两周时间算快的!如果遇到硬件厂商都找不到更换的备件,那么什么时间能够用上就不知道了!如果硬件过了保修期,那么客户就更加可怜了,会被玩弄于股掌之间!
使用我们碉堡的软件堡垒机就不会有以上的烦恼!软件可以备份,可以按照需要随意在不同地点的、不同性能的服务器上进行迁移!完全迎合了当今虚拟化云管理的需要,依据性能要求,选用不同处理性能的服务器;依据应用场景要求,部署在不同的机房。
堡垒主机是一台完全暴露给外网攻击的主机。它没有任何防火墙或者包过虑路由器设备保护。堡垒主机执行的任务对于整个网络安全系统至关重要。事实上,防火墙和包过滤路由器也可以被看作堡垒主机。由于堡垒主机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒主机,使它遭到外网攻击成功的风险性减至最低。其他类型的堡垒主机包括:Web,Mail,DNS,FTP服务器。一些网络管理员会用堡垒主机做牺牲品来换取网络的安全。这些主机吸引入侵者的注意力,耗费攻击真正网络主机的时间并且使追踪入侵企图变得更加容易。
有效的堡垒主机配置与典型主机配置非常不同。在堡垒主机上,所有不是必需的服务、协议、程序和网络的端口都被删除或者禁用。堡垒主机和内网信任主机之间并不共享认证服务,是为了如果堡垒主机被攻破,入侵者也无法利用堡垒主机攻击内网。堡垒主机被加固用来阻止潜在可能的攻击。对特定的堡垒主机进行加固的步骤取决于堡垒主机的工作和在其上运行的 *** 作系统及其他软件。加固工作将会更改服务控制列表;不需要的TCP和UDP端口将被禁用;并不重要的服务和守护程序也会被删除。所有最新的补丁程序应该及时加载。记录所有安全事件的安全日志应该启动,而且确保日志文件完整性的安全的工作要做好,用来保证入侵者不会抹掉自己入侵的记录。所有用户的帐号和密码库应该被加密保存。
最后需要做的工作是要保证网络应用程序的正常运行。由于应用程序开发商在开发程序时没有考虑程序的安全风险,所以给网络管理员的安全保障工作带来困难。网络管理员应随时注意应用程序开发商发表的安全公告、安全补丁,来保证网络服务程序的正常运行。
2012年流行的产品为内控堡垒主机,内控堡垒主机不同于传统意义上的堡垒主机,内控堡垒主机更贴切的名称应该是运维堡垒主机。
堡垒机作用明显,其提供运维统一入口和安全审计功能,切断直接访问和事后审计定责,解决“运维混乱”变得“运维有序” 。
下面是三种方法总结。分别从服务端,系统端、防火墙端来完成只允许堡垒机SSH登录的功能。
1、/etc/ssh/sshd_config
修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config :
AllowUsers myuser@201324
然后重启 sshd服务:systemctl restart sshd
2、hostsallow与hostsdeny
修改/etc/hostsdeny中添加设置 sshd : ALL ,拒绝所有的访问;
修改/etc/hostsallow,添加设置sshd : 201324 ,单独开启某个IP地址 。
这两个文件优先级为先检查hostsdeny,再检查hostsallow。
更加详细信息参考笔者的文章-Linux中hostsallow与hostsdeny 。
3、iptables防火墙
tcp协议中,禁止所有的ip访问本机的22端口。
iptables -I INPUT -p tcp--dport 22 -j DROP
只允许201324 访问本机的22端口
iptables -I INPUT -s 201324 -ptcp --dport 22 -j ACCEPT
另外/etc/pamd/sshd也可以提供访问控制功能,调用的pam_accessso模块是根据主机名、IP地址和用户实现全面的访问控制,pam_accessso模块的具体工作行为根据配置文件/etc/security/accessconf来决定。但是囿于资料过少,待以后遇到再解决把。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误 *** 作和非法 *** 作进行审计监控,以便事后责任追踪。
安全审计作为企业信息安全建设不可缺少的组成部分,逐渐受到用户的关注,是企业安全体系中的重要环节。同时,安全审计是事前预防、事中预警的有效风险控制手段,也是事后追溯的可靠证据来源。
碉堡堡垒机硬件平台选择与运维人员并发在线 *** 作数量有关,说明如下。
堡垒机采用代理工作机制,因此影响堡垒机处理性能的因素为并发在线 *** 作数, *** 作数越大占用硬件资源越大。堡垒机管理许可数量标示了堡垒机可以添加被管理主机IP地址的数量,因此与堡垒机处理性能无关。
对于硬件平台的选择,我们推荐两款最低的硬件配置要求,以便于您的选择。
一、 低端配置
1适用的并发在线 *** 作量
Windows图形型 *** 作最大20个并发 *** 作,或者Linux字符型 *** 作最大50个并发 *** 作。
2硬件配置要求
序号 产品名称 规格型号
1 cpu 1颗XEON 5606
2 内存 4G
3 硬盘 至少1块500G硬盘,建议使用2块硬盘,做Raid1,来便于数据备份
4 网口 1个千兆以太网接口
3推荐产品型号
戴尔:Dell PowerEdge T110 II小型塔式服务器
访问链接:>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)