运维人员如何搭建堡垒机？ _运维

我最近安装了一款小巧开源免费的堡垒机Teleport ，简单小巧，可以满足审计和远程运维的刚需，教程如下

开源免费堡垒机Teleport ，轻量级审计远程运维神器

可添加Windows和Linux主机

文章插图

SSH和RDP远程运维

添加完主机后，点击远程按键即可进行远程， Windows主机可选择分辨率， Linux主机可使用sftp

文章插图

审计功能，操作回放

在审计-会话记录中，可以回放远程操作过程

文章插图

回放可加速，可跳过无操作的部分

文章插图

功能特点

极易部署

简洁设计，小巧灵活，无额外依赖，确保您可以在5分钟内完成安装部署，开始使用。

安全增强

配置远程主机为仅被您的teleport服务器连接，可有效降低嗅探、扫描、暴力破解等攻击风险。

单点登录

只需登录您的teleport服务器，即可一键连接您的任意远程主机，无需记忆每台远程主机的密码了。

【运维人员如何搭建堡垒机？】按需授权

可以随时授权指定运维人员访问指定的远程主机，也可随时回收授权。仅仅需要几次点击！

运维审计

对远程主机的操作均有详细记录，支持操作记录录像、回放，审计工作无负担。

其他网友观点

堡垒机分为商业堡垒机和开源堡垒机，商业堡垒机选择好产商购买之后就会有专门负责部署实施的人员来负责对接相关事宜，有成熟的物理硬件堡垒机和纯软件的堡垒机，而开源堡垒机则需要花时间去选购硬件设备和搭建堡垒机的运行环境。

文章插图

毫无疑问开源堡垒机会是未来的主流，从Jumpserver、Github Star近几年受欢迎的程度就可以看出，但开源堡垒机一般需要专门的熟悉Linux、Python的人负责维护。堡垒机像是一个大门的警卫控制那些人可以登录那些资产，起到了事前防范和事中控制的作用；堡垒机又像一个黑匣子，它记录着登录后对网络信息资产做了什么事情。所以准确来说堡垒机叫运维安全审计系统，它主要负责身份验证（Authentication）、账号管理(Account)、授权控制(Authorization)、安全审计(Audit)等，这就是专业人士所说的符合4A的堡垒机才是专业运维安全审计系统。

文章插图

堡垒机是在怎样的环境下出现的？

随着时代的发展，企业不再是建一个网站就完成了与互联网接轨的时代。如今的信息化建设已经成为了企业发展的生命线，无纸化、精简审批流程和时间、大数据分析的要求使得企业把线下的线下的业务全部都搬迁至线上，比如ERP系统、CRM系统、OA系统等等。在信息安全事故频发的情况下，企业、政府对于内部信息安全的管控也变得越来越严苛。信息安全不仅仅来自于外部（如勒索病毒、木马等等），还来自于内部（比如删库，多个人使用一个账号等等）。

文章插图

因此就需要堡垒机这样的跳板机将所有的风险进行过滤、阻隔、记录，并对所有的账号进行统一的授权。堡垒机可以对过去事件进行回溯追责，这时系统日志所达不到的，系统日志零散可读性差、可以被删除和篡改、账号和人员没有办法进行一一对应，即使有某个运维人员删库跑路了，也很难留下痕迹作为证据。

文章插图

堡垒机不等同于跳板机，但可以说堡垒机是由跳板机发展而来。跳板机实际上就是一台服务器，运维的人员会统一登录到这台服务器之后，再由这台服务器登录到目标设备进行维护。跳板机仅此而已，缺乏运维人员操作行为的操控和审计，更别说4A ，一旦跳板机被攻入，和完全暴露没有任何区别。2005年前后堡垒机才开始作为一个独立的产品形态被广泛的部署。

堡垒机的噪点

堡垒机有点像全称录像机，录下了时间段内所有的行踪和轨迹，可以快速准确地定位到可以位置，协助我们做提前的防范。

但用过堡垒机的人都有遇到过突然出了问题可能很长时间没有办法登录的情况，尤其在处理具体业务时，会严重的拉低其他人员对于运维人员的满意度。另外就像上面提到的，堡垒机需要专人维护，并且这个人需要非常熟悉Linux、Python等。