河南
春節假期剛過,有個朋友就給我訴苦,說他公司出了生產環境的事故,春節期間被迫緊急加班。
我一問才知道,他公司有個數據庫服務器,春節期間發現數據庫很慢,運維發現是磁盤空間不足了,就想著把一些臨時文件刪除,本來應該是這樣的:
rm -rf /var/lib/postgresql/data/tmp*但是不知道為啥,可能是走神了,忘了寫tmp:
rm -rf /var/lib/postgresql/data/*于是,整個數據庫的數據都沒了。
幸虧有定時備份,趕緊恢復,但是還有很多數據得手工調整。
類似狀況不少人都遇到過,尤其是小公司,為了方便,經常是大家共享一個root賬號,最高權限一不小心就是災難。
更要命的是,數據是誰刪的?什么時間刪的?是誤操作還是惡意操作?
都不知道。
有沒有一種辦法,既能保證日常工作的進行,又能對每個人的權限進行限制,還能精確地記錄下每個人的具體操作以便以后查看呢?
答案是肯定的:堡壘機。
01
堡壘機
堡壘機相當于一個跳板,你對服務器的訪問,都必須通過堡壘機來進行,堡壘機會做這些事情:
1.盤問你是誰(認證)
2.對高危命令進行攔截,攔截DROP,TRUNCATE,rm-rf ....
3.強制二次確認,例如輸入工單編號,提交審批
4.全程錄像和審計,出了問題可以完整回放
。。。。。。
堡壘機就像一個堅固的軍事堡壘,幫助企業以更安全的方式管控和登錄各種類型的資產。
服務器少的公司可能無所謂,但是規模一旦達到 30~50 臺就幾乎一定會上堡壘機,這個規律在行業里非常明顯。
如果你的公司也需要堡壘機的話,飛致云推出的開源產品JumpServer非常值得嘗試:
JumpServer在GitHub上已經近30k的star,累計安裝超過50萬次,很多知名的企業都在使用它,可以說是千錘百煉了。
像JumpServer這樣的堡壘機是如何工作的呢?我們接下來簡單聊一聊。
02
資產和賬號
資產的概念很容易理解,最常見的就是公司的服務器和數據庫,這些都是JumpServer要保護的目標。
除了它們之外,JumpServer還支持網絡設備,云服務、Web、目錄服務等資產。
例如下面就是一個Linux 服務器資產,包含了名稱,協議,賬號等信息,將來登錄用得上。
眼尖的朋友可能立刻注意到了上圖中賬號"build",這個賬號如果在Linux上不存在怎么辦?
不用擔心,JumpServer有個“賬號推送”的功能,可以把你新建的賬號統統推送到實際的服務器上去。
那如果你的服務器上已經建立了很多賬號,怎么讓JumpServer知道呢? 那就用到“賬號發現”了。這個功能可以自動收集服務器上的賬號,然后和JumpServer中的資產綁定起來。
可以說,有了賬號“推送”和“發現”,極大的減輕了管理員的負擔。
03
資產授權
使用JumpServer以后,公司的運維和開發自然不能直接訪問那些IT資產了,所有的訪問都必須經過JumpServer統一發起,這樣才能做訪問控制,審核和審計。
所以在JumpServer上,需要給運維/開發等人創建“用戶”,然后對這些用戶授權,訪問IT資產。
下圖就是一個叫做liuxin的JumpServer用戶。
資產授權操作起來也非常簡單,無非就是對某個用戶(或者用戶組),指定資產和對應的賬號:
然后確定這個用戶的操作權限:
對于用戶輸入的命令,還可以進行控制和過濾,這樣就不可能發生文章開頭的一幕了。
04
資產使用
現在資產、賬號、授權都已經設置完成,用戶可以登錄JumpServer的工作臺,可以訪問資產了:
值得注意的是,由于資產賬號的密碼已經在JumpSever中,這里不用輸入密碼就可以進入數據庫了。
除了執行各種命令之外,JumpServer還可以上傳文件,對文件進行管理:
05
審計
JumpServer不僅可以讓用戶采用統一的方式登錄服務器,進行統一控制,還能事后還原整個過程:
系統出了問題,到底是誰干的?執行了什么命令?是誤操作還是惡意行為?都能清楚地展示出來。
每個用戶的會話都會被記錄:
每個會話都執行了哪些命令,也一覽無余。
甚至每個會話的具體過程都有錄像:
如果發現有用戶正在執行危險指令,可以立刻強制他離線:
JumpServer的儀表盤,讓你對整體的狀況有個快速的了解:
06
很多公司在剛起步的時候,都覺得:“服務器不多,沒必要上堡壘機。” “大家都是自己人,不會亂來。”
但現實是,一次走神,一次誤刪,足以讓整個系統變成災難,這種事故甚至比黑客攻擊都可怕。
而堡壘機的意義就在于此,它讓權限有邊界,風險可控制,責任可以明確。
尤其是當企業規模變大以后,堡壘機是真正的護城河。
安全是底線,別等生產事故教會你安全的價值,趁早去試試JumpServer這樣的堡壘機吧:
JumpServer官網:
https://jumpserver.org/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
