前言
从应用安全,做成运维安全了,把最近做的东西总结一下。为啥需要堡垒机就不用多说了,服务器管理存在风险( 多云导致服务器分散、账号混乱定位不明、权限粗放资源滥用、误操作、审计不严取证困难、等保合规要求等),访问服务器存在安全隐患(直接对公网开放22和3389端口、办公网直连、服务器互联等),因此,部署实施堡垒机,利用堡垒机的4A能力(身份鉴别、授权控制、账号管理、安全审计)对特权账号及访问方式进行安全管控。未来所有运维人员需通过堡垒机访问被管控的服务器
安装
官方文档比较完善,参考官方文档就可以了 https://docs.jumpserver.org/zh/master/install/setup_by_fast/
高可用
参考官方文档,负载均衡配置 https://docs.jumpserver.org/zh/master/install/setup_by_lb/
我这里mysql/redis使用了云rds和redis
录像存储使用了云OSS,修改路径在会话管理 - 终端管理 - 存储配置 - 录像存储 - 添加 OSS配置,配置完成,更新全部
负载均衡也使用了云SLB,后端部署了2个节点,节点的SECRET_KEY 和 BOOTSTRAP_TOKEN要保持一致,https也是在SLB上做的
1 | # 记录 SECRET_KEY 和 BOOTSTRAP_TOKEN |
参考迁移文档 https://docs.jumpserver.org/zh/master/install/migration/,定期备份数据库
1 | cd /opt/jumpserver-installer-vx/ |
运营
管理文档也很详细 https://docs.jumpserver.org/zh/master/admin-guide/quick_start/
这里记录一下使用技巧
身份认证源接入
这里通过AD做认证,做LDAP配置,也可以通过标准的OIDC/SAML协议对接SSO
安全设置
配置连接超时、水印、MFA、登陆验证码、异地登陆保护,如果启用钉钉认证/配置邮箱,异地登陆提醒会发送到钉钉工作通知/邮箱
资产管理
我们的资产比较混乱了,包括某个公有云上的多个账号,本地机房。资产列表没有细分,根据云账号去创建资产节点
其中多个云账号可通过创建对等连接打通网络,本地机房通过网域网关的方式打通(SSH代理)
因为没有cmdb系统,公有云资产可以通过jms接口自动同步,本地机房资产只能手动维护了,本地机房资产维护还是有点乱,没有单一来源,之前开发自维护,根据业务需求添加
危险命令关联资产或者系统用户
授权(前期手工)
通过宜搭设计审批表单,因为第一次使用,没有考虑自动化
首先通过LDAP同步用户,根据业务线去创建用户组,然后对用户组进行资产授权
授权(自动化)
翻翻宜搭手册,翻翻jms接口文档
22和3389端口收敛
本地机房和办公网隔离,只允许堡垒机跳板机(网域网关)访问
公有云只允许堡垒机和devops系统访问,禁止服务器之间互联
