以下是基于Ubuntu系统搭建堡垒机并集成设备管理的详细步骤和注意事项:
一、堡垒机搭建步骤
- 系统准备
sudo apt update && sudo apt upgrade -y
sudo apt install openssh-server fail2ban ufw -y
- 安全加固
# 修改SSH端口
sudo sed -i 's/#Port 22/Port 58222/' /etc/ssh/sshd_config
# 禁用root登录
sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
# 配置防火墙
sudo ufw allow 58222/tcp
sudo ufw enable
sudo systemctl restart sshd
- 安装Teleport堡垒机
curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
echo "deb https://deb.releases.teleport.dev/ stable main" | sudo tee /etc/apt/sources.list.d/teleport.list
sudo apt update
sudo apt install teleport
- 配置Teleport
sudo teleport configure -o /etc/teleport.yaml
sudo systemctl enable teleport
sudo systemctl start teleport
二、设备接入配置
- 生成管理密钥
ssh-keygen -t rsa -b 4096 -C "bastion_admin"
ssh-copy-id -i ~/.ssh/id_rsa.pub admin@server1 # 维护服务器
- 网络设备配置示例(以Cisco为例)
enable
configure terminal
ip domain-name example.com
crypto key generate rsa modulus 2048
line vty 0 4
transport input ssh
access-class 100 in
exit
ip access-list standard 100
permit host 192.168.1.100 # 堡垒机IP
exit
- 安全设备接入(以FortiGate防火墙为例)
config system admin
edit "teleport_admin"
set ssh-public-key1 "ssh-rsa AAAAB3NzaC1yc2E..."
set trusthost1 192.168.1.100/32
set accprofile "super_admin"
next
end
三、访问Teleport Web控制台
- 获取访问地址
# 查看Teleport服务状态获取访问地址(默认使用3080端口)
sudo teleport status
输出示例:
Cluster Name: teleport.example.com
Version: 13.0.0
Hostname: bastion-server
Web UI: https://bastion-server:3080
- 浏览器访问
https://<堡垒机IP或域名>:3080
首次访问需忽略证书警告或提前部署合法证书
- 初始管理员注册
首次登录需通过CLI获取初始令牌:
sudo tctl users add teleport-admin --roles=editor,access
按提示设置密码后完成登录
四、网页端添加服务器设备
- 导航到「节点」管理
- 左侧菜单栏 → Infrastructure → Servers → Add Server
- 填写服务器信息
Hostname: web-server-01
IP Address: 192.168.1.101
Port: 22 (默认SSH端口)
Labels:
env=production
role=webserver
- 配置认证方式
- 选择 SSH 协议
- 认证方式选择以下之一:
- 自动上传密钥(推荐):
# 在堡垒机上生成并分发密钥
sudo tctl auth sign --format=openssh --user=teleport-admin --host=web-server-01
- 手动密钥上传:粘贴~/.ssh/teleport-admin.pub公钥内容
- 测试连接
- 点击 Verify Connection 进行连通性测试
- 成功标志:显示绿色 "Node is reachable" 提示
五、添加网络设备(Cisco交换机为例)
- 前置准备
- 确保交换机已启用SSH访问(参考CLI配置):
line vty 0 4
transport input ssh
login local
- Web界面操作
- 导航至 Infrastructure → Networking Devices → Add Device
Device Type: Cisco Switch
Management IP: 192.168.1.200
Protocol: SSHv2
Port: 22
Credentials:
Type: SSH Key
Username: cisco-admin
Private Key: [上传预先创建的专用密钥]
- 高级配置
- 开启 Session Recording 启用操作审计
- 设置命令过滤规则(示例禁止配置删除):
# 在Teleport策略文件添加
spec:
deny:
-
"clear configuration"
-
"delete flash:*"
六、添加安全设备(以FortiGate防火墙为例)
- API密钥生成
- 登录防火墙控制台:
config system api-user
edit "teleport-user"
set accprofile "super_admin"
set vdom "root"
config trusthost
edit 1
set ipv4-trusthost 192.168.1.100/32
next
end
set api-key generate
end
- Web界面配置
- 导航至 Infrastructure → Security Devices → Add Firewall
Vendor: Fortinet
API Endpoint: https://192.168.1.150:443
API Key: xxxxxxxxxxxxxxxxx (从防火墙获取的API密钥)
Sync Interval: 300 (秒自动同步策略)
- 权限映射
- 创建角色 firewall-operator:
kind: role
version: v5
metadata:
name: firewall-operator
spec:
allow:
firewall_actions: ["get","list"]
deny:
- "execute reboot"
七、添加IDS/IPS设备(以Suricata为例)
- 日志服务器配置
# 在Suricata服务器配置日志转发
sudo tee -a /etc/suricata/suricata.yaml <<EOF
outputs:
- eve-log:
enabled: yes
type: syslog
syslog:
facility: local5
level: info
EOF
- Teleport集成配置
- 导航至 Security → Integrations → Add Log Forwarder
Integration Type: Syslog
Protocol: TCP
Port: 5140
Log Format: CEF (Common Event Format)
Filters:
Severity: >=medium
Event Types: intrusion_attempt
八、日常维护操作
- 批量导入设备
- 使用CSV模板批量上传:
hostname,ip,type,credentials
core-switch-01,10.1.1.1,switch,key:/path/to/key
ids-sensor-01,10.1.2.5,ids,api:xxxxxx
- 连接故障排查
- 在设备详情页点击 Diagnostics:
- 检查SSH握手过程
- 验证权限策略匹配
- 查看实时日志流
- 在设备详情页点击 Diagnostics:
九、关键注意事项
- 证书管理
- 每90天轮换设备访问证书:
sudo tctl auth rotate --type=device
- 高危操作审批
- 启用审批工作流(需企业版):
kind: access_request
spec:
require_approval: yes
approvals_required: 2
- 浏览器兼容性
- 推荐使用Chrome/Firefox最新版
- 禁用浏览器插件防止会话中断
通过Web界面管理可大幅简化设备纳管流程,建议对每类设备创建专用标签(如device:cisco-switch),便于后续基于标签的权限分配。所有变更操作会自动记录至审计日志,可通过 Activity 菜单回溯完整操作历史。
十、日常维护注意事项
- 访问控制
- 采用最小权限原则,按角色分配权限
- 实施双因素认证(Teleport支持Google Authenticator)
- 每周审查/var/log/teleport.log和/var/log/auth.log
- 会话审计
# 查看Teleport会话记录
tctl sessions ls
# 回放特定会话
tctl play 0d8c4f4e-1234-5678-90ab-cdef01234567
- 系统维护
# 每日安全检查脚本
#!/bin/bash
apt list --upgradable
fail2ban-client status sshd
netstat -tulnp | grep -vE '(127.0.0.1|::1)'
十一、数据备份方案
- 配置自动备份
# 创建备份脚本
sudo nano /usr/local/bin/teleport_backup.sh
#!/bin/bash
DATE=$(date +%Y%m%d)
tar czvf /backup/teleport-config-$DATE.tar.gz /etc/teleport.yaml /var/lib/teleport/
mysqldump -u root -p'password' teleport > /backup/teleport-db-$DATE.sql
aws s3 cp /backup/*-$DATE.* s3://your-bucket/backups/
- 设置定时任务
sudo crontab -e
# 每天凌晨2点执行备份
0 2 * * * /usr/local/bin/teleport_backup.sh
- 备份验证
# 每月执行恢复测试
tar -tf /backup/teleport-config-latest.tar.gz
mysql -u root -p -e "DROP DATABASE teleport; CREATE DATABASE teleport;"
mysql -u root -p teleport < /backup/teleport-db-latest.sql
十二、高级安全设置
- 网络隔离
# 创建管理VLAN
sudo apt install vlan
sudo modprobe 8021q
sudo vconfig add eth0 100
sudo ip addr add 192.168.100.1/24 dev eth0.100
- HIDS集成(以Wazuh为例)
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring /usr/share/keyrings/wazuh.gpg --import
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt update
sudo apt install wazuh-agent
十三、故障排查命令
- 网络诊断
mtr -rw 192.168.1.1 # 实时路由跟踪
tshark -i eth0 -Y "ssh" -f "tcp port 58222" # SSH 流量分析
- 性能监控
# 安装Prometheus监控
sudo apt install prometheus-node-exporter
sudo systemctl enable prometheus-node-exporter
建议每月执行安全审计:
lynis audit system
rkhunter --check
以上方案实现了基于角色的精细化管理,所有管理操作均通过加密隧道进行,审计日志保留周期建议不低于180天。关键设备建议采用证书+动态令牌双因素认证,网络设备配置变更需通过堡垒机审批流程。