認(rèn)識Teleport

在開源堡壘機(jī)領(lǐng)域, 很多人都知道jumpserver, 但是jumpserver安裝相對較復(fù)雜, 新手容易出現(xiàn)各種坑。

在這里介紹一款簡單易用的開源堡壘機(jī)系統(tǒng): Teleport, 它小巧、易用, 支持 RDP/SSH/SFTP/Telnet 協(xié)議的遠(yuǎn)程連接和審計(jì)管理.

Teleport由兩大部分構(gòu)成：

跳板核心服務(wù)
WEB操作界面

Teleport的特點(diǎn):

極易部署
簡潔設(shè)計(jì)，小巧靈活，無額外依賴，確保您可以在5分鐘內(nèi)完成安裝部署，開始使用。
安全增強(qiáng)
配置遠(yuǎn)程主機(jī)為僅被teleport服務(wù)器連接,可有效降低嗅探、掃描、暴力破解等攻擊風(fēng)險(xiǎn)。
單點(diǎn)登錄
只需登錄teleport服務(wù)器，即可一鍵連接您的任意遠(yuǎn)程主機(jī)，無需記憶每臺遠(yuǎn)程主機(jī)的密碼了。
按需授權(quán)
可以隨時(shí)授權(quán)指定運(yùn)維人員訪問指定的遠(yuǎn)程主機(jī)，也可隨時(shí)回收授權(quán)。僅僅需要幾次點(diǎn)擊！
運(yùn)維審計(jì)
對遠(yuǎn)程主機(jī)的操作均有詳細(xì)記錄，支持操作記錄錄像、回放，審計(jì)工作無負(fù)擔(dān)。

參考官方地址: https://tp4a.com/

Teleport安裝部署

Teleport非常小巧且極易安裝部署：僅需一分鐘，就可以安裝部署一套您自己的堡壘機(jī)系統(tǒng)！！

因?yàn)門eleport內(nèi)建了所需的腳本引擎, WEB服務(wù)等模塊，因此不需要額外安裝其他的庫或者模塊，整個(gè)系統(tǒng)的安裝與部署非常方便。

下載并解壓

# wget https://tp4a.com/static/download/teleport-server-linux-x64-3.2.2.tar.gz

# tar xf teleport-server-linux-x64-3.2.2.tar.gz

執(zhí)行安裝腳本

# cd teleport-server-linux-x64-3.2.2/

# ./setup.sh

服務(wù)控制方法

Teleport 有兩個(gè)服務(wù)：

核心服務(wù) core , 配置文件路徑為/usr/local/teleport/data/etc/core.ini
網(wǎng)頁服務(wù) web, 配置文件路徑為/usr/local/teleport/data/etc/web.ini

兩個(gè)服務(wù)可以同時(shí)啟動、停止、重啟，也可單獨(dú)操作其中的一個(gè)。

操作完整的 teleport 服務(wù)：

啟動： /etc/init.d/teleport start
停止： /etc/init.d/teleport stop
重啟： /etc/init.d/teleport restart
查看運(yùn)行狀態(tài)： /etc/init.d/teleport status

僅操作核心服務(wù) core：

啟動： /etc/init.d/teleport start core
停止： /etc/init.d/teleport stop core
重啟： /etc/init.d/teleport restart core

僅操作網(wǎng)頁服務(wù) web：

啟動： /etc/init.d/teleport start web
停止： /etc/init.d/teleport stop web
重啟： /etc/init.d/teleport restart web

訪問web管理界面

安裝完后,確認(rèn)web界面端口

# netstat -ntlup |grep 7190
tcp     0   0 0.0.0.0:7190      0.0.0.0:*               LISTEN      7303/tp_web

使用瀏覽器訪問http://服務(wù)器的IP:7190

安裝mariadb并啟動

在centos7上,我這里直接使用rpm版的mariadb比較方便(當(dāng)然你也可以選擇自己二進(jìn)制安裝或編譯安裝MySQL)

# yum install mariadb-server mariadb-devel -y

# systemctl start mariadb
# systemctl enable mariadb

配置mariadb

# mysql

MariaDB [(none)]> create database teleport default character set utf8;

MariaDB [(none)]> grant all on teleport.* to 'teleport'@'localhost' identified by '123';

MariaDB [(none)]> flush privileges;

MariaDB [(none)]> quit

修改teleport配置

主要修改[database]配置段,以連接mysql(mariadb)

# grep -Ev ';|^$' /usr/local/teleport/data/etc/web.ini	# 修改后的配置如下
[common]
port=7190
log-level=2
debug-mode=0
core-server-rpc=http://127.0.0.1:52080/rpc

[database]
type=mysql
mysql-host=127.0.0.1
mysql-port=3306
mysql-db=teleport
mysql-prefix=tp_
mysql-user=teleport
mysql-password=123

web配置連接

使用瀏覽器再次訪問http://服務(wù)器的IP:7190

連接登錄

Teleport簡單應(yīng)用

添加主機(jī)

主機(jī)連接模式

在添加主機(jī)時(shí)有兩種連接模式如下圖所示:

直接連接較好理解，端口映射是在直接連接的基礎(chǔ)上又加了一個(gè)路由主機(jī), 多做了一次跳轉(zhuǎn).

安裝Teleport助手

因?yàn)橄乱粋€(gè)步驟測試遠(yuǎn)程連接時(shí)需要安裝Teleport助手(windows客戶端安裝)

助手下載地址: https://tp4a.com/download/get-file/teleport-assist-windows-3.2.2.exe

除了windows版外,還有mac版,暫不支持linux版。

安裝過程省略, 安裝完后效果:

添加主機(jī)賬號

添加完主機(jī)后，還需要為此主機(jī)設(shè)置遠(yuǎn)程登錄的賬號

遠(yuǎn)程連接操作

會話審計(jì)

特別注意: 錄像存放路徑為/usr/local/teleport/data/replay/,會占較大的存儲空間,建議使用單獨(dú)的存儲盤或遠(yuǎn)程存儲(NAS,SAN,分布式存儲等)掛到到此目錄,以防止空間不夠.

如果要修改錄像占用目錄的路徑, 方法如下:

# vim /usr/local/teleport/data/etc/core.ini

replay-path=XXXXXX			   打開注釋,并修改成合適的路徑

保存后,重啟服務(wù)生效
# /etc/init.d/teleport restart`

Teleport應(yīng)用進(jìn)階

批量添加資產(chǎn)主機(jī)

如果有很多臺主機(jī)需要批量加入,我們可以將所有主機(jī)信息填寫到資產(chǎn)信息文件里，然后一鍵導(dǎo)入即可。

主機(jī)資產(chǎn)分組

當(dāng)主機(jī)數(shù)據(jù)過多時(shí)，為了方便管理，我們需要將其進(jìn)行分組.

用戶管理

這里要討論的用戶與主機(jī)賬號必須要區(qū)分開。用戶可以指定不同的角色。
用戶: 指運(yùn)維工程師們在辦公室或家里遠(yuǎn)程連接到堡壘機(jī)的用戶.
主機(jī)賬號: 指堡壘機(jī)ssh連接資產(chǎn)主機(jī)的賬號,如root等。為了更安全建議使用普通用戶與sudo結(jié)合。
角色: 指一類權(quán)限的集合。







如果用戶比較多，也可以對用戶進(jìn)行分組管理，這里就不詳解討論了。

為用戶授權(quán)資產(chǎn)

主機(jī)資產(chǎn)多, 用戶也不止一個(gè), 所以還需要做資產(chǎn)授權(quán)管理，讓不同的用戶管理不同的資產(chǎn)。

普通用戶登錄驗(yàn)證

請自行使用張三用戶管理操作，然后使用admin用戶進(jìn)行審計(jì)驗(yàn)證。

總結(jié)

最終實(shí)現(xiàn)多用戶，多資產(chǎn)主機(jī)授權(quán)管理的安全堡壘機(jī)，符合4A標(biāo)準(zhǔn):

authention 驗(yàn)證
authority 授權(quán)
account 賬戶管理
audit 審計(jì)

總結(jié)

以上是生活随笔為你收集整理的Teleport_实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。