CrazyEye，一款國(guó)人開(kāi)源的堡壘機(jī)軟件

作者：Alex 2015-12-03 10:51:16

到目前為止，很多公司對(duì)堡壘機(jī)依然不太感冒，其實(shí)是沒(méi)有充分認(rèn)識(shí)到堡壘機(jī)在IT管理中的重要作用，很多人覺(jué)得，堡壘機(jī)就是跳板機(jī)，其實(shí)這個(gè)認(rèn)識(shí)是不全面的，跳板功能只是堡壘機(jī)所具備的功能屬性中的其中一項(xiàng)而已，下面我就給大家介紹一下堡壘機(jī)的重要性，以幫助大家參考自己公司的業(yè)務(wù)是否需要部署堡壘機(jī)。

　　[[158050]]

　　嘉賓介紹

Alex，多年運(yùn)維+自動(dòng)化開(kāi)發(fā)經(jīng)驗(yàn)，曾任職公安部、飛信、Nokia中國(guó)、中金公司、Advent軟件、汽車(chē)之家等公司，目前任老男孩教育Python教學(xué)總監(jiān)，熱愛(ài)技術(shù)、電影、音樂(lè)、旅游、妹子！

　　主題簡(jiǎn)介

　　CrazyEye碉堡機(jī)誕生記及主要功能介紹，文末會(huì)有本軟件的開(kāi)源地址，謝謝關(guān)注！

　　正文

　　假期姑娘們都不在身邊，又不想到處去看人海，所以呆在家里開(kāi)發(fā)了個(gè)堡壘機(jī)，現(xiàn)已開(kāi)源，歡迎大家試用，在使用前，容我先跟大家介紹下堡壘機(jī)的重要性!

　　堡壘機(jī)有以下兩個(gè)至關(guān)重要的功能，權(quán)限管理和審計(jì)管理，以下我們分別論述之。

　　權(quán)限管理

　　當(dāng)你公司的服務(wù)器變的越來(lái)越多后，需要操作這些服務(wù)器的人就肯定不只是一個(gè)運(yùn)維人員，同時(shí)也可能包括多個(gè)開(kāi)發(fā)人員，那么這么多的人操作業(yè)務(wù)系統(tǒng)，如果權(quán)限分配不當(dāng)就會(huì)存在很大的安全風(fēng)險(xiǎn)，舉幾個(gè)場(chǎng)景例子：

　　1.設(shè)想你們公司有300臺(tái)Linux服務(wù)器，A開(kāi)發(fā)人員需要登錄其中5臺(tái)WEB服務(wù)器查看日志或進(jìn)行問(wèn)題追蹤等事務(wù)，同時(shí)對(duì)另外10臺(tái)hadoop服務(wù)器有root權(quán)限。

　　在有300臺(tái)服務(wù)器規(guī)模的網(wǎng)絡(luò)中，按常理來(lái)講你是已經(jīng)使用了ldap權(quán)限統(tǒng)一認(rèn)證的，你如何使這個(gè)開(kāi)發(fā)人員只能以普通用戶(hù)的身份登錄5臺(tái)web服務(wù)器。

　　并且同時(shí)允許他以管理員的身份登錄另外10臺(tái)hadoop服務(wù)器呢?并且同時(shí)他對(duì)其它剩下的200多臺(tái)服務(wù)器沒(méi)有訪問(wèn)權(quán)限。

　　2.目前據(jù)我了解，很多公司的運(yùn)維團(tuán)隊(duì)為了方便，整個(gè)運(yùn)維團(tuán)隊(duì)的運(yùn)維人員還是共享同一套root密碼，這樣內(nèi)部信任機(jī)制雖然使大家的工作方便了，但同時(shí)存在著極大的安全隱患。

　　很多情況下，一個(gè)運(yùn)維人員只需要管理固定數(shù)量的服務(wù)器，畢竟公司分為不同的業(yè)務(wù)線，不同的運(yùn)維人員管理的業(yè)務(wù)線也不同，但如果共享一套root密碼，其實(shí)就等于無(wú)限放大了每個(gè)運(yùn)維人員的權(quán)限。

　　也就是說(shuō)，如果某個(gè)運(yùn)維人員想干壞事的話，他可以在幾分鐘內(nèi)把整個(gè)公司的業(yè)務(wù)停轉(zhuǎn)，甚至數(shù)據(jù)都給刪除掉。

　　為了降低風(fēng)險(xiǎn)，于是有人想到，把不同業(yè)務(wù)線的root密碼改掉就ok了么，也就是每個(gè)業(yè)務(wù)線的運(yùn)維人員只知道自己的密碼，這當(dāng)然是最簡(jiǎn)單有效的方式。

　　但問(wèn)題是如果你同時(shí)用了ldap，這樣做又比較麻煩，即使你設(shè)置了root不通過(guò)ldap認(rèn)證，那新問(wèn)題就是，每次有運(yùn)維人員離職，他所在的業(yè)務(wù)線的密碼都需要重新改一次。

　　其實(shí)上面的問(wèn)題，我覺(jué)得可以很簡(jiǎn)單的通過(guò)堡壘機(jī)來(lái)實(shí)現(xiàn)，收回所有人員的直接登錄服務(wù)器的權(quán)限，所有的登錄動(dòng)作都通過(guò)堡壘機(jī)授權(quán)。

　　運(yùn)維人員或開(kāi)發(fā)人員不知道遠(yuǎn)程服務(wù)器的密碼，這些遠(yuǎn)程機(jī)器的用戶(hù)信息都綁定在了堡壘機(jī)上，堡壘機(jī)用戶(hù)只能看到他能用什么權(quán)限訪問(wèn)哪些遠(yuǎn)程服務(wù)器。

　　在回收了運(yùn)維或開(kāi)發(fā)人員直接登錄遠(yuǎn)程服務(wù)器的權(quán)限后，其實(shí)就等于你們公司生產(chǎn)系統(tǒng)的所有認(rèn)證過(guò)程都通過(guò)堡壘機(jī)來(lái)完成了，堡壘機(jī)等于成了你們生產(chǎn)系統(tǒng)的SSO(single sign on)模塊了。你只需要在堡壘機(jī)上添加幾條規(guī)則就能實(shí)現(xiàn)以下權(quán)限控制了：

　　允許A開(kāi)發(fā)人員通過(guò)普通用戶(hù)登錄5臺(tái)web服務(wù)器，通過(guò)root權(quán)限登錄10臺(tái)hadoop服務(wù)器，但對(duì)其余的服務(wù)器無(wú)任務(wù)訪問(wèn)權(quán)限。

　　多個(gè)運(yùn)維人員可以共享一個(gè)root賬戶(hù)，但是依然能分辨出分別是誰(shuí)在哪些服務(wù)器上操作了哪些命令，因?yàn)楸緳C(jī)賬戶(hù)是每個(gè)人獨(dú)有的。

　　也就是說(shuō)雖然所有運(yùn)維人員共享了一同一個(gè)遠(yuǎn)程root賬戶(hù)，但由于他們用的堡壘賬戶(hù)都是自己獨(dú)有的，因此依然可以通過(guò)堡壘機(jī)控制每個(gè)運(yùn)維人員訪問(wèn)不同的機(jī)器。

　　創(chuàng)建主機(jī)

　　創(chuàng)建遠(yuǎn)程用戶(hù)

　　創(chuàng)建主機(jī)與遠(yuǎn)程用戶(hù)綁定關(guān)系

　　創(chuàng)建CrazyEye賬戶(hù)

　　配置WebSSH

　　#p#

CrazyEye首頁(yè)

　　批量命令

　　批量文件分發(fā)

　　配置頁(yè)

　　審計(jì)管理

　　審計(jì)管理其實(shí)很簡(jiǎn)單，就是把用戶(hù)的所有操作都紀(jì)錄下來(lái)，以備日后的審計(jì)或者事故后的追責(zé)。在紀(jì)錄用戶(hù)操作的過(guò)程中有一個(gè)問(wèn)題要注意，就是這個(gè)紀(jì)錄對(duì)于操作用戶(hù)來(lái)講是不可見(jiàn)的，什么意思?

　　就是指，無(wú)論用戶(hù)愿不愿意，他的操作都會(huì)被紀(jì)錄下來(lái)，并且，他自己如果不想操作被紀(jì)錄下來(lái)，或想刪除已紀(jì)錄的內(nèi)容，這些都是他做不到的，這就要求操作日志對(duì)用戶(hù)來(lái)講是不可見(jiàn)和不可訪問(wèn)的，通過(guò)堡壘機(jī)就可以很好的實(shí)現(xiàn)。

　　審計(jì)By用戶(hù)

　　審計(jì)By主機(jī)

　　審計(jì)—命令操作詳細(xì)

　　開(kāi)源

　　CrazyEye 和其他開(kāi)源產(chǎn)品的區(qū)別在于，是一款堡壘機(jī)+主機(jī)管理的軟件。支持Linux主機(jī)操作審計(jì)，目前不支持Windows(已列入支持計(jì)劃)，并支持對(duì)主機(jī)進(jìn)行批量命令、文件分發(fā)操作，后期還會(huì)加入計(jì)劃任務(wù)管理，敬請(qǐng)期待。

　　軟件git地址：

https://github.com/triaquae/CrazyEye.git

如何一起愉快地發(fā)展

“高效運(yùn)維”公眾號(hào)（如下二維碼）值得您的關(guān)注，作為高效運(yùn)維系列微信群的唯一官方公眾號(hào)，每周發(fā)表多篇干貨滿滿的原創(chuàng)好文：來(lái)自于系列群的討論精華、運(yùn)維講壇線上精彩分享及群友原創(chuàng)。“高效運(yùn)維”也是互聯(lián)網(wǎng)專(zhuān)欄《高效運(yùn)維最佳實(shí)踐》及運(yùn)維2.0官方公眾號(hào)。