站長(zhǎng)資訊網(wǎng)?
23.1 什么是堡壘機(jī)
堡壘機(jī),是在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶(hù)的***和破壞,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。
我們又把堡壘機(jī)叫做跳板機(jī),簡(jiǎn)易的跳板機(jī)功能簡(jiǎn)單,主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計(jì)。運(yùn)維堡壘機(jī)的理念起源于跳板機(jī)。2000年左右,高端行業(yè)用戶(hù)為了對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理,會(huì)在機(jī)房里部署跳板機(jī)。跳板機(jī)就是一臺(tái)服務(wù)器,維護(hù)人員在維護(hù)過(guò)程中,首先要統(tǒng)一登錄到這臺(tái)服務(wù)器上,然后從這臺(tái)服務(wù)器再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)。
堡壘機(jī)從功能上講,它綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能,從技術(shù)實(shí)現(xiàn)上講,通過(guò)切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪(fǎng)問(wèn),而采用協(xié)議代理的方式,接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪(fǎng)問(wèn)。形象地說(shuō),終端計(jì)算機(jī)對(duì)目標(biāo)的訪(fǎng)問(wèn),均需要經(jīng)過(guò)運(yùn)維安全審計(jì)的翻譯。打一個(gè)比方,運(yùn)維安全審計(jì)扮演著看門(mén)者的工作,所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門(mén)經(jīng)過(guò)。因此運(yùn)維安全審計(jì)能夠攔截非法訪(fǎng)問(wèn),和惡意***,對(duì)不合法命令進(jìn)行命令阻斷,過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪(fǎng)問(wèn)行為,并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控,以便事后責(zé)任追蹤。
安全審計(jì)作為企業(yè)信息安全建設(shè)不可缺少的組成部分,逐漸受到用戶(hù)的關(guān)注,是企業(yè)安全體系中的重要環(huán)節(jié)。同時(shí),安全審計(jì)是事前預(yù)防、事中預(yù)警的有效風(fēng)險(xiǎn)控制手段,也是事后追溯的可靠證據(jù)來(lái)源。
為什么企業(yè)需要堡壘機(jī)?
近年來(lái)數(shù)據(jù)安全事故頻發(fā),包括斯諾登事件、希拉里郵件丑聞以及攜程宕機(jī)事件等,數(shù)據(jù)安全與防止泄露成為政府和企業(yè)都非常關(guān)心的議題,因此云堡壘機(jī)也應(yīng)運(yùn)而生。
案例一:
讓我們共同回顧最具代表性的數(shù)據(jù)泄露引發(fā)的安全事故,美國(guó)著名的斯諾登事件。2013年6月,美國(guó)《華盛頓郵報(bào)》報(bào)道,美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局于2007年啟動(dòng)了一個(gè)代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目,直接進(jìn)入美國(guó)網(wǎng)際網(wǎng)路公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)。露這些絕密文件的并非國(guó)家安全局的內(nèi)部員工,而是國(guó)家安全局的外聘人員愛(ài)德華?斯諾登。
斯諾登事件若放在今天,將不可能發(fā)生,因?yàn)槲覀冇辛嗽票緳C(jī)!其中的管理員角色可以設(shè)置敏感操作的事前攔截、事中斷開(kāi)、事后審計(jì),并且可以做到全程無(wú)代理實(shí)時(shí)監(jiān)控。類(lèi)似斯諾登這樣的外聘人員將無(wú)法接觸到這些敏感信息,更不用說(shuō)泄露出來(lái)了。并且某些云堡壘機(jī)支持錄屏功能也可以幫助用戶(hù)進(jìn)行審計(jì)和追責(zé)。
案例二:
2015年5月28日上午11點(diǎn)至晚上8點(diǎn),在某旅游出行平臺(tái)官網(wǎng)及APP上登錄、下單或交易時(shí),跳轉(zhuǎn)均出現(xiàn)問(wèn)題,導(dǎo)致操作無(wú)法順利完成。造成直接經(jīng)濟(jì)損失巨大,按照其上一季度的財(cái)報(bào)公布的數(shù)據(jù),宕機(jī)的損失為平均每小時(shí)106.48萬(wàn)美元。
最終,平臺(tái)回應(yīng)此事稱(chēng)系由于員工誤操作刪除了服務(wù)器上的執(zhí)行代碼導(dǎo)致。不論是因?yàn)?*****還是員工誤操作,真金白銀800萬(wàn)美元的經(jīng)驗(yàn)教訓(xùn)告誡我們對(duì)于數(shù)據(jù)的安全和備份必須要引起重視!云堡壘機(jī)能解決這2個(gè)問(wèn)題,一是***面小,二是可定制雙機(jī)備份。
以上事實(shí)說(shuō)明,云堡壘機(jī)對(duì)安全的重要程度不言而喻。
比較優(yōu)秀的用于搭建堡壘機(jī)的開(kāi)源軟件:jumpserver。主要功能有:認(rèn)證、授權(quán)、審計(jì)、自動(dòng)化、資產(chǎn)管理等。
商業(yè)堡壘機(jī)的功能比開(kāi)源的要強(qiáng)大,比較出名的有:齊治,Citrix XenApp等。
23.2 搭建簡(jiǎn)易堡壘機(jī)思路
堡壘機(jī)需要具有公網(wǎng)IP以及內(nèi)網(wǎng)IP,其中內(nèi)網(wǎng)IP用于和機(jī)房其他機(jī)器通信。公網(wǎng)IP是用于在外部登錄,通過(guò)公網(wǎng)IP登錄到堡壘機(jī)后,才能訪(fǎng)問(wèn)內(nèi)網(wǎng)的機(jī)器,這一點(diǎn)和跳板機(jī)一樣。
搭建堡壘機(jī),首先需要限制端口,留出可以遠(yuǎn)程登錄的端口,其他的端口都封閉掉。然后還需要配置白名單IP,規(guī)定只有哪些IP可以登錄,以及禁止密碼登錄,只允許密鑰登錄等,做這些事情的目的是為了增加堡壘機(jī)的安全性。
除此之外,還需要限制登錄的用戶(hù),限制為普通用戶(hù)登錄,和限制用戶(hù)可以執(zhí)行的命令等。
還需要在客戶(hù)機(jī)器上做日志審計(jì)。
23.3 安裝jailkit實(shí)現(xiàn)chroot
安裝jailkit實(shí)現(xiàn)chroot的目的是為了限制登錄的用戶(hù)能夠執(zhí)行的命令,因?yàn)橐乐沟卿浀挠脩?hù)對(duì)堡壘機(jī)進(jìn)行其他的操作。jailkit可以把用戶(hù)限制在一個(gè)虛擬的系統(tǒng)中,這個(gè)虛擬系統(tǒng)的環(huán)境是chroot的,讓用戶(hù)無(wú)法直接操作真實(shí)系統(tǒng)。
編譯安裝jailkit:
[root@localhost?~]#?cd?/usr/local/src/ [root@localhost?/usr/local/src]#?wget?[root@localhost?/usr/local/src]#?tar?jxvf?jailkit-2.19.tar.bz2 [root@localhost?/usr/local/src]#?cd?jailkit-2.19 [root@localhost?/usr/local/src/jailkit-2.19] #?./configure?&&?make?&&?make?install [root@localhost?/usr/local/src/jailkit-2.19]#?echo?$? 0 [root@localhost?/usr/local/src/jailkit-2.19] #./configure?&&?make?&&?make?install ?echo?$? ?0
創(chuàng)建一個(gè)目錄作為虛擬系統(tǒng)的根目錄:
mkdir?/home/jail
給虛擬系統(tǒng)初始化一些命令,讓這個(gè)系統(tǒng)具有基本的文件結(jié)構(gòu)、網(wǎng)絡(luò)相關(guān)的以及常用命令等:
?
jk_init?-v?-j?/home/jail/?basicshell ?jk_init?-v?-j?/home/jail/?editors ??jk_init?-v?-j?/home/jail/?netutils ???jk_init?-v?-j?/home/jail/?ssh
初始化完成后/home/jail/下會(huì)生成以下幾個(gè)目錄:
ls?/home/jail/
創(chuàng)建真實(shí)系統(tǒng)的用戶(hù):
useradd?jailUser passwd?jailUser 更改用戶(hù)?jailUser?的密碼?。 新的?密碼: 重新輸入新的?密碼: passwd:所有的身份驗(yàn)證令牌已經(jīng)成功更新。
創(chuàng)建虛擬系統(tǒng)的sbin目錄,并拷貝虛擬系統(tǒng)的shell文件:
mkdir?/home/jail/usr/sbin cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh
創(chuàng)建虛擬系統(tǒng)的用戶(hù):
jk_jailuser?-m?-j?/home/jail?jailUser
編輯虛擬系統(tǒng)用戶(hù)的密碼文件內(nèi)容如下:
root:x:0:0:root:/root:/bin/bash jailUser:x:1011:1011::/home/jailUser:/bin/bash??#?改成/bin/bash后才能被遠(yuǎn)程登錄
完成以上操作后,遠(yuǎn)程登錄一下jailUser這個(gè)賬戶(hù):
登錄成功:
?
????????????????
