通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能:
1、ssh、telnet登录网络设备的账户统一在radius进行,方便定期修改密码、账户删减;
2、通过堡垒机登录设备能控制权限、资源,并且有 *** 作记录,符合安全等报;
二、安装步骤
21 开源堡垒机Jumpserver安装
可以参考jumperserver官网安装步骤;
22、radius服务器安装
radius可以使用Windows的NPS(Network Policy Server )或者是freeradius。
本次使用Windows server 2008安装NPS
23 交换机配置
Ruijie#enable
Ruijie#configure terminal
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa domain enable ------>开启域名功能
Ruijie(config)#radius-server host XXXX------>配置radius IP
Ruijie(config)#radius-server key RADIUS ------>配置与radius通信的key
Ruijie(config)#aaa authentication login radius group radius local ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication radius ------>vty模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie ------>配置本地用户名和密码
Ruijie(config)#enable password ruijie ------>配置enable密码
Ruijie(config)#service password-encryption ------>对密码进行加密,这样show run就是密文显示配置的密码
Ruijie(config)#aaa local authentication attempts 3 ------>配限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机
Ruijie(config)#aaa local authentication lockout-time 1 ------>如果无法登入后,需要等待1小时才能再次尝试登入系统
注:锐捷交换机3760设备型号较老旧,使用ip domain-lookup
22 ssh配置
1)开启交换机的web服务功能
Ruijie#configure terminal
Ruijie(config)#enable service ssh-server
2) 生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys Choosing a key modulus greater than 512 may take
a few minutes
How many bits in the modulus [512]: 1024 ------>输入1024直接敲回车
% Generating 512 bit DSA keys [ok]
注:Jumpserver管理网络设备建议使用ssh方式,同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024关于跳板机/堡垒机的介绍:
跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和 *** 作
跳板机使用场景
查看状态
访问测试
登入web界面,初始密码账号均为admin
登录jumpserver服务web端进行虚拟机管理 *** 作
1)登录admin管理界面
创建一个develop组
3)创建一个用户curry,将curry添加到develop组里面,角色为普通用户,然后提交
4)点击更新,给curry用户添加登录密码
填写curry用户密码然后提交
5)用curry账号登录
进入curry用户界面
6)创建一个管理用户(用来管理资产虚拟主机,此用户必须要有资产虚拟主机的root身份,其中的密码为ssh登录虚拟主机的密码)
7)创建资产(指的是被管理的虚拟主机)
填入虚拟主机名、ip地址及管理用户
点击主机名,进入资产详情页面
点击测试,检测被管理的虚拟主机是否能ping通,如下结果表明测试成功
8)创建一个过滤器
9)创建一个系统用户(此用户名在登录虚拟主机后会被自动创建,为虚拟主机登录的默认普通用户,非管理员用户,权限比较小)
10)创建授权规则,将资产添加到develop组中,是的此组中的用户可以访问此资产虚拟主机
11)登录curry用户界面,点击web终端
可以看到被授权的终端虚拟机,点击虚拟终端即可在命令窗口 *** 作终端
12)再设置过滤器
点击规则
设置命令过滤禁止规则
13)此时再一次登录curry页面登录虚拟主机时,执行这些命令将会被禁止,如下所示
14)回到admin的web端,在会话管理下的历史会话可以打开录像回放列表,记录虚拟主机的所有 *** 作过程的录像
15)录像回放
16)再创建一个资产
17)在资产授权中将此资产也添加到develop组中
18)登录curry界面并打开web终端可以看到 *** 作两台虚拟主机
。
谢邀。不同堡垒机可能使用方法不一样。下面我就以我们公司使用的堡垒机为例,解答您的问题。
1、注册(登录)行云管家
打开行云管家堡垒机官网,点击右上方“注册”或“登录”按钮,可以通过手机号或者邮箱注册完成。同时,行云管家堡垒机也支持QQ、微信、微博、Google等第三方账号登录。
2、创建团队
基于团队协同的工作模式,创建一个属于您的团队。首先为您的团队取一个名称,行云管家堡垒机后台会自动为您的团队生成独有的团队标识;然后您可以邀请团队成员加入。
3、导入云主机
选择云厂商或者云资源的类型,行云管家堡垒机支持多个主流云厂商的多个云资源管理,其中包括云主机、对象存储、CDN等。选择好云厂商或云资源之后,通过API凭证将您的云主机导入到行云管家堡垒机中进行管理。
以上,您已通过行云管家堡垒机登录,简单便捷,并且您可以直接使用它来进行管理。
题外话:当初也是看中它的简单易 *** 作,并且功能全面的特性,如果有同样需求的话,可以试试看。
堡垒机是阿里云提供的核心系统运维和安全审计的管控平台,可集中管理资产权限,全程管控 *** 作行为,实时还原运维场景,保障云端运维行为身份可鉴别、权限可管控、 *** 作可审计,解决众多资产难管理、运维职责权限不清晰以及运维事件难追溯等问题, 助力企业满足等保合规需求。
0:00
/ 2:47



为什么选择堡垒机?
选择堡垒机,您可以轻松构建具有以下优势的核心系统运维和安全审计的管控平台:
运维入口统一
堡垒机可实现对多账号进行统一收口,员工可通过单点登录,一站式访问后端庞大服务器资源,在高效运维的同时,避免多资源账号密码易遗忘、多人知晓密码信息易泄漏等风险。
身份双因子认证
堡垒机提供双因子认证功能,可通过动态密码或短信认证方式再次进行身份鉴别,防止非法用户通过窃取账号密码,对资产进行仿冒登录、非法访问。
权限细粒度划分
堡垒机可以细粒度的给用户分组分权,如限制文件上传、下载、创建等,在最小化权限的基础上,实现最灵活配置控制。
高危行为自动阻断
堡垒机可以对敏感的高危命令,如删除数据(rm -rf /)、格式化等高度敏感 *** 作进行实时自动阻断,防止重大误删事件发生。
溯源审计可视化
堡垒机采用可视化审计记录,通过直观录播的方式真实还原全行为场景,对安全事件进行高效取证追踪。
支持的版本
针对用户场景、需求的不同,堡垒机提供了基本版和高可用版两个版本:
基础版
基础版具备基础的运维审计能力,如双因子认证、运维授权、高危命令阻断、运维审计等功能,可满足中小企业的基础运维安全及网络安全等级保护制度合规需求。
高可用版
高可用版适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、技术开发等。
高可用版除具有更高的基础配置外,还可满足更高的业务安全需求:
更高业务稳定保障,双引擎架构,双活运行,SLA可达9995%。
更高的处理性能,可运维的资产数量超过500台(基础版的上限),最多可以支持上万台。
更丰富的运维能力,如支持WebTerminal运维能力、定期轮转提升密码安全性的自动改密能力。
更充足的带宽和存储空间,带来更优质的运维服务体验。
基础版和高可用版的详细区别,请参见功能特性。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)