运维安全项目-堡垒机部署
- [1. 运维安全项目-架构概述](#1. 运维安全项目-架构概述)
- [2. 运维安全项目之堡垒机](#2. 运维安全项目之堡垒机)
-
- [2.1 堡垒机概述](#2.1 堡垒机概述)
- [2.2 堡垒机选型](#2.2 堡垒机选型)
- [2.3 环境准备](#2.3 环境准备)
- [2.4 部署Teleport堡垒机](#2.4 部署Teleport堡垒机)
-
- [2.4.1 下载与部署](#2.4.1 下载与部署)
- [2.4.2 启动](#2.4.2 启动)
- [2.4.3 浏览器访问teleport](#2.4.3 浏览器访问teleport)
- [2.4.4 进行配置](#2.4.4 进行配置)
- [2.4.5 安装teleport客户端](#2.4.5 安装teleport客户端)
- [2.5 teleport连接服务器](#2.5 teleport连接服务器)
1. 运维安全项目-架构概述
2. 运维安全项目之堡垒机
2.1 堡垒机概述
- 堡垒机:用于在用户登录网站之前设备或服务,使用堡垒机内部用户所有操作将被记录下来,用于日后做审计,安全审计。
2.2 堡垒机选型
| 堡垒机 | 说明 |
|---|---|
| 开元堡垒机 | teleport(简单那使用),jumpserver(用户较多)...... |
| 云产品 | 堡垒机(不需要搭建,只需要花钱) |
| 硬件产品 | 绿盟、奇安信、360 |
2.3 环境准备
- 重新搭建一个虚拟机
- 修改主机名
hostnamectl set-hostname oldboy-bao - 修改ip地址为10.0.0.61
vim /etc/sysconfig/network-scripts/ifcfg-eth0+systemctl retart network
2.4 部署Teleport堡垒机
2.4.1 下载与部署
- 下载软件包拷贝到Linux家目录下
- 解压软件包:
tar xf teleport-server-linux-x64-3.6.4-b3.tar.gz - 进入解压后的目录:
cd teleport-server-linux-x64-3.6.4-b3/ - 运行安装命令(仅1次):
./setup.sh install
2.4.2 启动
- 检查Teleport是否运行:
/etc/init.d/teleport status - 启动服务:
/etc/init.d/teleport start - 关闭服务:
/etc/init.d/teleport stop - 重启服务:
/etc/init.d/teleport restart
2.4.3 浏览器访问teleport
- 浏览器输入:http://10.0.0.61:7190
- 如果进入失败的做法
- 检查selinux是否关闭,如果没有则关闭
getenforce结果应该是Disabled或Permissive- 如果是enforcing则
sed -i 's#SELINUX=enforcing#SELINUX=disabled#' /etc/selinux/config
- 关闭防火墙
- 关闭开机自启动
systemctl disable firewalld - 关闭防火墙
systemctl stop firewalld
- 关闭开机自启动
- 检查selinux是否关闭,如果没有则关闭
2.4.4 进行配置
- 登录网站之后就注册个用户就行
2.4.5 安装teleport客户端
2.5 teleport连接服务器
- 在添加资产中配置就可以了
- 连接方式
http://10.0.0.61:7190/(IP+端口号)