本节内容
项目实战:运维堡垒机开发
前景介绍
到目前为止,很多公司对堡垒机依然不太感冒,其实是没有充分认识到堡垒机在IT管理中的重要作用的,很多人觉得,堡垒机就是跳板机,其实这个认识是不全面的,跳板功能只是堡垒机所具备的功能属性中的其中一项而已,下面我就给大家介绍一下堡垒机的重要性,以帮助大家参考自己公司的业务是否需要部署堡垒机。
堡垒机有以下两个至关重要的功能:
权限管理
当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:
设想你们公司有300台Linux服务器,A开发人员需要登录其中5台WEB服务器查看日志或进行问题追踪等事务,同时对另外10台hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5台web服务器,并且同时允许他以管理员的身份登录另外10台hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限
目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。
其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。
在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统的SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:
允许A开发人员通过普通用户登录5台web服务器,通过root权限登录10台hadoop服务器,但对其余的服务器无任务访问权限
多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。
审计管理
审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。
堡垒机架构
堡垒机的主要作用权限控制和用户行为审计,堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统 , 每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权,每个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑,且每个建筑物还有自己的权限访问控制,不同级别的人可以到建筑物里不同楼层的访问级别也是不一样的。还有就是,每个进入城堡的人的所有行为和足迹都会被严格的监控和纪录下来,一旦发生犯罪事件,城堡管理人员就可以通过这些监控纪录来追踪责任人。
堡垒要想成功完全记到他的作用,只靠堡垒机本身是不够的, 还需要一系列安全上对用户进行限制的配合,堡垒机部署上后,同时要确保你的网络达到以下条件:
-
所有人包括运维、开发等任何需要访问业务系统的人员,只能通过堡垒机访问业务系统
- 回收所有对业务系统的访问权限,做到除了堡垒机管理人员,没有人知道业务系统任何机器的登录密码
- 网络上限制所有人员只能通过堡垒机的跳转才能访问业务系统
- 确保除了堡垒机管理员之外,所有其它人对堡垒机本身无任何操作权限,只有一个登录跳转功能
- 确保用户的操作纪录不能被用户自己以任何方式获取到并篡改
堡垒机功能实现需求
业务需求:
- 兼顾业务安全目标与用户体验,堡垒机部署后,不应使用户访问业务系统的访问变的复杂,否则工作将很难推进,因为没人喜欢改变现状,尤其是改变后生活变得更艰难
- 保证堡垒机稳定安全运行, 没有100%的把握,不要上线任何新系统,即使有100%把握,也要做好最坏的打算,想好故障预案
功能需求:
- 所有的用户操作日志要保留在数据库中
- 每个用户登录堡垒机后,只需要选择具体要访问的设置,就连接上了,不需要再输入目标机器的访问密码
- 允许用户对不同的目标设备有不同的访问权限,例:
- 对10.0.2.34 有mysql 用户的权限
- 对192.168.3.22 有root用户的权限
- 对172.33.24.55 没任何权限
- 分组管理,即可以对设置进行分组,允许用户访问某组机器,但对组里的不同机器依然有不同的访问权限
这段sqlalchemy建立表结构的代码就有点凶残了,慢慢看,总而言之,表结构设计好了就没有什么很难的东西了。就是这样,sqlalchemy用多了就熟悉了。
#!/user/bin/env python
# -*-coding: utf-8-*- from sqlalchemy import Table, Column, String, Integer, create_engine, ForeignKey, UniqueConstraint, DateTime
from sqlalchemy.orm import sessionmaker, relationship
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy_utils import ChoiceType Base = declarative_base() # 生成一个ORM基类 userprofile_2_hostgroup = Table('userprofile_2_hostgroup', Base.metadata, # 堡垒机登录名跟主机组的关联关系
Column('userprofile_id', ForeignKey('user_profile.id')),
Column('hostgroup_id', ForeignKey('host_group.id'))
) bindhost_2_hostgroup = Table("bindhost_2_hostgroup", Base.metadata,
Column('bind_host_id', ForeignKey('bind_host.id')),
Column('host_group_id', ForeignKey('host_group.id'))
) userprofile_2_bindhost = Table('userprofile_2_bindhost', Base.metadata,
Column('user_profile_id', ForeignKey('user_profile.id')),
Column('bind_host_id', ForeignKey('bind_host.id'))
) class UserProfile(Base):
"""登陆堡垒机账户表:id, 用户名, 密码"""
__tablename__ = "user_profile"
id = Column(Integer, primary_key=True, autoincrement=True)
username = Column(String(64), unique=True, nullable=False)
password = Column(String(128), unique=True, nullable=False) host_groups = relationship('HostGroup', secondary=userprofile_2_hostgroup, backref='user_profile')
bind_hosts = relationship('BindHost', secondary=userprofile_2_bindhost, backref='user_profile')
audit_logs = relationship('AuditLog') def __repr__(self):
return "<UserProfile(id='%s',username='%s')>" % (self.id,
self.username) class HostGroup(Base):
"""主机组:id, 主机组名称"""
__tablename__ = "host_group"
id = Column(Integer, primary_key=True, autoincrement=True)
name = Column(String(64), unique=True, nullable=False)
user_profiles = relationship('UserProfile', secondary=userprofile_2_hostgroup, backref='host_group')
bind_hosts = relationship('BindHost', secondary=bindhost_2_hostgroup, backref='host_group') def __repr__(self):
return "<HostGroup(id='%s',name='%s')>" % (self.id,
self.name) class Host(Base):
"""主机列表: id, hostname, ip, port """
__tablename__ = "host"
id = Column(Integer, primary_key=True, autoincrement=True)
hostname = Column(String(64), unique=True, nullable=False)
ip = Column(String(64), unique=True, nullable=False)
port = Column(Integer, default=22) def __repr__(self):
return "<Host(id='%s',hostname='%s')>" % (self.id,
self.hostname) class RemoteUser(Base):
__tablename__ = "remote_user"
AuthType = [
(u'ssh-password', u'SSH/Password'),
(u'ssh-key', u'SSH/KEY')
]
id = Column(Integer, primary_key=True, autoincrement=True)
username = Column(String(64), nullable=False)
password = Column(String(128))
auth_type = Column(ChoiceType(AuthType))
__table_args__ = (UniqueConstraint('auth_type', 'username', 'password', name="_user_psd_uc"),)
def __repr__(self):
return "<Remote User(id='%s', user='%s', auth_type='%s')>" % (self.id, self.username, self.auth_type) class BindHost(Base):
"""主机对应主机登陆名关联"""
__tablename__ = 'bind_host'
id = Column(Integer, primary_key=True, autoincrement=True)
host_id = Column(Integer, ForeignKey('host.id'))
remote_user_id = Column(Integer, ForeignKey('remote_user.id')) host = relationship('Host')
remote_user = relationship('RemoteUser')
audit_logs = relationship('AuditLog')
host_groups = relationship("HostGroup", secondary=bindhost_2_hostgroup, backref='bind_host')
user_profiles = relationship("UserProfile", secondary=userprofile_2_bindhost, backref='bind_host') __table_args__ = (UniqueConstraint('host_id', 'remote_user_id', name='_host_remote_user_uc'), ) def __repr__(self):
return "<BindHost(ID='%s', host_name='%s', remote_user_name='%s')>" % (self.id,
self.host.hostname,
self.remote_user.username) class AuditLog(Base):
"""audit table 记录user的每一条命令"""
__tablename__ = 'audit_log'
id = Column(Integer, primary_key=True, autoincrement=True)
user_id = Column(Integer, ForeignKey('user_profile.id'))
bind_host_id = Column(Integer, ForeignKey('bind_host.id')) action_list = [
(u'cmd', u'CMD'),
(u'login', u'Login'),
(u'logout', u'Logout'),
] action_type = Column(ChoiceType(action_list))
cmd = Column(String(255))
action_date = Column(DateTime) user_profiles = relationship('UserProfile')
bind_hosts = relationship('BindHost') def __repr__(self):
return "<Audit Log(user:'%s', host:'%s', action:'%s', cmd:'%s', date time:'%s')>" % \
(self.user_profiles.username, self.bind_hosts.host.name, self.action_type, self.cmd, self.action_date) if __name__ == '__main__':
sql = "mysql+pymysql://root:password.1@192.168.85.100/test1?charset=utf8"
engine = create_engine(sql)
Base.metadata.create_all(engine) SessionCls = sessionmaker(bind=engine)
session = SessionCls() obj = UserProfile(username='dandy', password='password.1')
session.add(obj)
session.commit()
ssh公钥登录过程
使用密码登录,每次都必须输入密码,非常麻烦。好在SSH还提供了公钥登录,可以省去输入密码的步骤。
所谓"公钥登录",原理很简单,就是用户将自己的公钥储存在远程主机上。登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:
$ ssh-keygen
运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。
运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。
这时再输入下面的命令,将公钥传送到远程主机host上面:
$ ssh-copy-id user@host
好了,从此你再登录,就不需要输入密码了。
附上Alex的代码:https://github.com/triaquae/py3_training/tree/master/%E5%A0%A1%E5%9E%92%E6%9C%BA
# Copyright (C) 2003-2007 Robey Pointer <robeypointer@gmail.com>
#
# This file is part of paramiko.
#
# Paramiko is free software; you can redistribute it and/or modify it under the
# terms of the GNU Lesser General Public License as published by the Free
# Software Foundation; either version 2.1 of the License, or (at your option)
# any later version.
#
# Paramiko is distributed in the hope that it will be useful, but WITHOUT ANY
# WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR
# A PARTICULAR PURPOSE. See the GNU Lesser General Public License for more
# details.
#
# You should have received a copy of the GNU Lesser General Public License
# along with Paramiko; if not, write to the Free Software Foundation, Inc.,
# 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA. import socket
import sys
from core import models
import datetime
from paramiko.py3compat import u # windows does not have termios...
try:
import termios
import tty
has_termios = True
except ImportError:
has_termios = False def interactive_shell(chan, user_obj, bind_host_obj, log_recording):
if has_termios:
posix_shell(chan, user_obj, bind_host_obj, log_recording)
else:
windows_shell(chan, user_obj, bind_host_obj, log_recording) def posix_shell(chan, user_obj, bind_host_obj, log_recording):
import select oldtty = termios.tcgetattr(sys.stdin)
try:
tty.setraw(sys.stdin.fileno())
tty.setcbreak(sys.stdin.fileno())
chan.settimeout(0.0)
cmd_list = [] while True:
r, w, e = select.select([chan, sys.stdin], [], [])
if chan in r:
try:
x = u(chan.recv(1024))
if len(x) == 0:
sys.stdout.write('\r\n*** EOF\r\n')
break
sys.stdout.write(x)
sys.stdout.flush()
except socket.timeout:
pass
if sys.stdin in r:
x = sys.stdin.read(1)
if len(x) == 0:
break
if x == '\r':
cmd = ''.join(cmd_list)
obj = models.AuditLog(user_id=user_obj.id,
bind_host_id=bind_host_obj.id,
action_type='cmd',
cmd=cmd,
action_date=datetime.datetime.now())
log_recording(obj)
cmd_list.clear()
else:
cmd_list.append(x)
chan.send(x) finally:
termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) # thanks to Mike Looijmans for this code
def windows_shell(chan, user_obj, bind_host_obj, log_recording):
import threading sys.stdout.write("Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n") def writeall(sock):
while True:
data = sock.recv(256)
if not data:
sys.stdout.write('\r\n*** EOF ***\r\n\r\n')
sys.stdout.flush()
break
sys.stdout.write(data)
sys.stdout.flush() writer = threading.Thread(target=writeall, args=(chan,))
writer.start() try:
while True:
d = sys.stdin.read(1)
if not d:
break
chan.send(d)
except EOFError:
# user hit ^Z or F6
pass
paramiko库里面的文件,稍微修改一下,就可以记录cmd命令了,再写入数据库。
可以去官网下载,文件名interactive.py