?

23.1 什么是堡壘機(jī)

堡壘機(jī)，是在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的***和破壞，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

我們又把堡壘機(jī)叫做跳板機(jī)，簡(jiǎn)易的跳板機(jī)功能簡(jiǎn)單，主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計(jì)。運(yùn)維堡壘機(jī)的理念起源于跳板機(jī)。2000年左右，高端行業(yè)用戶為了對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理，會(huì)在機(jī)房里部署跳板機(jī)。跳板機(jī)就是一臺(tái)服務(wù)器，維護(hù)人員在維護(hù)過(guò)程中，首先要統(tǒng)一登錄到這臺(tái)服務(wù)器上，然后從這臺(tái)服務(wù)器再登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)。

堡壘機(jī)從功能上講，它綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主干功能，從技術(shù)實(shí)現(xiàn)上講，通過(guò)切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問(wèn)，而采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問(wèn)。形象地說(shuō)，終端計(jì)算機(jī)對(duì)目標(biāo)的訪問(wèn)，均需要經(jīng)過(guò)運(yùn)維安全審計(jì)的翻譯。打一個(gè)比方，運(yùn)維安全審計(jì)扮演著看門者的工作，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過(guò)。因此運(yùn)維安全審計(jì)能夠攔截非法訪問(wèn)，和惡意***，對(duì)不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為，并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。

安全審計(jì)作為企業(yè)信息安全建設(shè)不可缺少的組成部分，逐漸受到用戶的關(guān)注，是企業(yè)安全體系中的重要環(huán)節(jié)。同時(shí)，安全審計(jì)是事前預(yù)防、事中預(yù)警的有效風(fēng)險(xiǎn)控制手段，也是事后追溯的可靠證據(jù)來(lái)源。

為什么企業(yè)需要堡壘機(jī)？

近年來(lái)數(shù)據(jù)安全事故頻發(fā)，包括斯諾登事件、希拉里郵件丑聞以及攜程宕機(jī)事件等，數(shù)據(jù)安全與防止泄露成為政府和企業(yè)都非常關(guān)心的議題，因此云堡壘機(jī)也應(yīng)運(yùn)而生。

案例一：

讓我們共同回顧最具代表性的數(shù)據(jù)泄露引發(fā)的安全事故，美國(guó)著名的斯諾登事件。2013年6月，美國(guó)《華盛頓郵報(bào)》報(bào)道，美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局于2007年啟動(dòng)了一個(gè)代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目，直接進(jìn)入美國(guó)網(wǎng)際網(wǎng)路公司的中心服務(wù)器里挖掘數(shù)據(jù)、收集情報(bào)。露這些絕密文件的并非國(guó)家安全局的內(nèi)部員工，而是國(guó)家安全局的外聘人員愛(ài)德華?斯諾登。

斯諾登事件若放在今天，將不可能發(fā)生，因?yàn)槲覀冇辛嗽票緳C(jī)！其中的管理員角色可以設(shè)置敏感操作的事前攔截、事中斷開、事后審計(jì)，并且可以做到全程無(wú)代理實(shí)時(shí)監(jiān)控。類似斯諾登這樣的外聘人員將無(wú)法接觸到這些敏感信息，更不用說(shuō)泄露出來(lái)了。并且某些云堡壘機(jī)支持錄屏功能也可以幫助用戶進(jìn)行審計(jì)和追責(zé)。

案例二：

2015年5月28日上午11點(diǎn)至晚上8點(diǎn)，在某旅游出行平臺(tái)官網(wǎng)及APP上登錄、下單或交易時(shí)，跳轉(zhuǎn)均出現(xiàn)問(wèn)題，導(dǎo)致操作無(wú)法順利完成。造成直接經(jīng)濟(jì)損失巨大，按照其上一季度的財(cái)報(bào)公布的數(shù)據(jù)，宕機(jī)的損失為平均每小時(shí)106.48萬(wàn)美元。

最終，平臺(tái)回應(yīng)此事稱系由于員工誤操作刪除了服務(wù)器上的執(zhí)行代碼導(dǎo)致。不論是因?yàn)?*****還是員工誤操作，真金白銀800萬(wàn)美元的經(jīng)驗(yàn)教訓(xùn)告誡我們對(duì)于數(shù)據(jù)的安全和備份必須要引起重視！云堡壘機(jī)能解決這2個(gè)問(wèn)題，一是***面小，二是可定制雙機(jī)備份。

以上事實(shí)說(shuō)明，云堡壘機(jī)對(duì)安全的重要程度不言而喻。

比較優(yōu)秀的用于搭建堡壘機(jī)的開源軟件：jumpserver。主要功能有：認(rèn)證、授權(quán)、審計(jì)、自動(dòng)化、資產(chǎn)管理等。

商業(yè)堡壘機(jī)的功能比開源的要強(qiáng)大，比較出名的有：齊治，Citrix XenApp等。

23.2 搭建簡(jiǎn)易堡壘機(jī)思路

堡壘機(jī)需要具有公網(wǎng)IP以及內(nèi)網(wǎng)IP，其中內(nèi)網(wǎng)IP用于和機(jī)房其他機(jī)器通信。公網(wǎng)IP是用于在外部登錄，通過(guò)公網(wǎng)IP登錄到堡壘機(jī)后，才能訪問(wèn)內(nèi)網(wǎng)的機(jī)器，這一點(diǎn)和跳板機(jī)一樣。

搭建堡壘機(jī)，首先需要限制端口，留出可以遠(yuǎn)程登錄的端口，其他的端口都封閉掉。然后還需要配置白名單IP，規(guī)定只有哪些IP可以登錄，以及禁止密碼登錄，只允許密鑰登錄等，做這些事情的目的是為了增加堡壘機(jī)的安全性。

除此之外，還需要限制登錄的用戶，限制為普通用戶登錄，和限制用戶可以執(zhí)行的命令等。

還需要在客戶機(jī)器上做日志審計(jì)。

---

23.3 安裝jailkit實(shí)現(xiàn)chroot

安裝jailkit實(shí)現(xiàn)chroot的目的是為了限制登錄的用戶能夠執(zhí)行的命令，因?yàn)橐乐沟卿浀挠脩魧?duì)堡壘機(jī)進(jìn)行其他的操作。jailkit可以把用戶限制在一個(gè)虛擬的系統(tǒng)中，這個(gè)虛擬系統(tǒng)的環(huán)境是chroot的，讓用戶無(wú)法直接操作真實(shí)系統(tǒng)。

編譯安裝jailkit：

[root@localhost?~]#?cd?/usr/local/src/ [root@localhost?/usr/local/src]#?wget?[root@localhost?/usr/local/src]#?tar?jxvf?jailkit-2.19.tar.bz2 [root@localhost?/usr/local/src]#?cd?jailkit-2.19 [root@localhost?/usr/local/src/jailkit-2.19] #?./configure?&&?make?&&?make?install [root@localhost?/usr/local/src/jailkit-2.19]#?echo?$? 0 [root@localhost?/usr/local/src/jailkit-2.19] #./configure?&&?make?&&?make?install ?echo?$? ?0

創(chuàng)建一個(gè)目錄作為虛擬系統(tǒng)的根目錄：

mkdir?/home/jail

給虛擬系統(tǒng)初始化一些命令，讓這個(gè)系統(tǒng)具有基本的文件結(jié)構(gòu)、網(wǎng)絡(luò)相關(guān)的以及常用命令等：

?

jk_init?-v?-j?/home/jail/?basicshell ?jk_init?-v?-j?/home/jail/?editors ??jk_init?-v?-j?/home/jail/?netutils ???jk_init?-v?-j?/home/jail/?ssh

初始化完成后/home/jail/下會(huì)生成以下幾個(gè)目錄：

ls?/home/jail/

創(chuàng)建真實(shí)系統(tǒng)的用戶：

useradd?jailUser passwd?jailUser 更改用戶?jailUser?的密碼?。 新的?密碼： 重新輸入新的?密碼： passwd：所有的身份驗(yàn)證令牌已經(jīng)成功更新。

創(chuàng)建虛擬系統(tǒng)的sbin目錄，并拷貝虛擬系統(tǒng)的shell文件：

mkdir?/home/jail/usr/sbin cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh

創(chuàng)建虛擬系統(tǒng)的用戶：

jk_jailuser?-m?-j?/home/jail?jailUser

編輯虛擬系統(tǒng)用戶的密碼文件內(nèi)容如下：

root:x:0:0:root:/root:/bin/bash jailUser:x:1011:1011::/home/jailUser:/bin/bash??#?改成/bin/bash后才能被遠(yuǎn)程登錄

完成以上操作后，遠(yuǎn)程登錄一下jailUser這個(gè)賬戶：

登錄成功：

?

????????????????