[[158050]] 

　　嘉賓介紹

Alex，多年運維+自動化開發(fā)經(jīng)驗，曾任職公安部、飛信、Nokia中國、中金公司、Advent軟件、汽車之家等公司，目前任老男孩教育Python教學(xué)總監(jiān)，熱愛技術(shù)、電影、音樂、旅游、妹子！

　　主題簡介

　　CrazyEye碉堡機誕生記及主要功能介紹，文末會有本軟件的開源地址，謝謝關(guān)注！

　　正文

　　假期姑娘們都不在身邊，又不想到處去看人海，所以呆在家里開發(fā)了個堡壘機，現(xiàn)已開源，歡迎大家試用，在使用前，容我先跟大家介紹下堡壘機的重要性!

　　到目前為止，很多公司對堡壘機依然不太感冒，其實是沒有充分認識到堡壘機在IT管理中的重要作用，很多人覺得，堡壘機就是跳板機，其實這個認識是不全面的，跳板功能只是堡壘機所具備的功能屬性中的其中一項而已，下面我就給大家介紹一下堡壘機的重要性，以幫助大家參考自己公司的業(yè)務(wù)是否需要部署堡壘機。

　　堡壘機有以下兩個至關(guān)重要的功能，權(quán)限管理和審計管理，以下我們分別論述之。

　　權(quán)限管理

　　當你公司的服務(wù)器變的越來越多后，需要操作這些服務(wù)器的人就肯定不只是一個運維人員，同時也可能包括多個開發(fā)人員，那么這么多的人操作業(yè)務(wù)系統(tǒng)，如果權(quán)限分配不當就會存在很大的安全風險，舉幾個場景例子：

　　1.設(shè)想你們公司有300臺Linux服務(wù)器，A開發(fā)人員需要登錄其中5臺WEB服務(wù)器查看日志或進行問題追蹤等事務(wù)，同時對另外10臺hadoop服務(wù)器有root權(quán)限。

　　在有300臺服務(wù)器規(guī)模的網(wǎng)絡(luò)中，按常理來講你是已經(jīng)使用了ldap權(quán)限統(tǒng)一認證的，你如何使這個開發(fā)人員只能以普通用戶的身份登錄5臺web服務(wù)器。

　　并且同時允許他以管理員的身份登錄另外10臺hadoop服務(wù)器呢?并且同時他對其它剩下的200多臺服務(wù)器沒有訪問權(quán)限。

　　2.目前據(jù)我了解，很多公司的運維團隊為了方便，整個運維團隊的運維人員還是共享同一套root密碼，這樣內(nèi)部信任機制雖然使大家的工作方便了，但同時存在著極大的安全隱患。

　　很多情況下，一個運維人員只需要管理固定數(shù)量的服務(wù)器，畢竟公司分為不同的業(yè)務(wù)線，不同的運維人員管理的業(yè)務(wù)線也不同，但如果共享一套root密碼，其實就等于無限放大了每個運維人員的權(quán)限。

　　也就是說，如果某個運維人員想干壞事的話，他可以在幾分鐘內(nèi)把整個公司的業(yè)務(wù)停轉(zhuǎn)，甚至數(shù)據(jù)都給刪除掉。

　　為了降低風險，于是有人想到，把不同業(yè)務(wù)線的root密碼改掉就ok了么，也就是每個業(yè)務(wù)線的運維人員只知道自己的密碼，這當然是最簡單有效的方式。

　　但問題是如果你同時用了ldap，這樣做又比較麻煩，即使你設(shè)置了root不通過ldap認證，那新問題就是，每次有運維人員離職，他所在的業(yè)務(wù)線的密碼都需要重新改一次。

　　其實上面的問題，我覺得可以很簡單的通過堡壘機來實現(xiàn)，收回所有人員的直接登錄服務(wù)器的權(quán)限，所有的登錄動作都通過堡壘機授權(quán)。

　　運維人員或開發(fā)人員不知道遠程服務(wù)器的密碼，這些遠程機器的用戶信息都綁定在了堡壘機上，堡壘機用戶只能看到他能用什么權(quán)限訪問哪些遠程服務(wù)器。

　　在回收了運維或開發(fā)人員直接登錄遠程服務(wù)器的權(quán)限后，其實就等于你們公司生產(chǎn)系統(tǒng)的所有認證過程都通過堡壘機來完成了，堡壘機等于成了你們生產(chǎn)系統(tǒng)的SSO(single sign on)模塊了。你只需要在堡壘機上添加幾條規(guī)則就能實現(xiàn)以下權(quán)限控制了：

　　允許A開發(fā)人員通過普通用戶登錄5臺web服務(wù)器，通過root權(quán)限登錄10臺hadoop服務(wù)器，但對其余的服務(wù)器無任務(wù)訪問權(quán)限。

　　多個運維人員可以共享一個root賬戶，但是依然能分辨出分別是誰在哪些服務(wù)器上操作了哪些命令，因為堡壘機賬戶是每個人獨有的。

　　也就是說雖然所有運維人員共享了一同一個遠程root賬戶，但由于他們用的堡壘賬戶都是自己獨有的，因此依然可以通過堡壘機控制每個運維人員訪問不同的機器。

　　創(chuàng)建主機

　　創(chuàng)建遠程用戶

　　創(chuàng)建主機與遠程用戶綁定關(guān)系

　　創(chuàng)建CrazyEye賬戶

　　配置WebSSH

　　#p#

CrazyEye首頁

　　批量命令

　　批量文件分發(fā)

　　配置頁

　　審計管理

　　審計管理其實很簡單，就是把用戶的所有操作都紀錄下來，以備日后的審計或者事故后的追責。在紀錄用戶操作的過程中有一個問題要注意，就是這個紀錄對于操作用戶來講是不可見的，什么意思?

　　就是指，無論用戶愿不愿意，他的操作都會被紀錄下來，并且，他自己如果不想操作被紀錄下來，或想刪除已紀錄的內(nèi)容，這些都是他做不到的，這就要求操作日志對用戶來講是不可見和不可訪問的，通過堡壘機就可以很好的實現(xiàn)。

　　審計By用戶

　　審計By主機

　　審計—命令操作詳細

　　開源

　　CrazyEye 和其他開源產(chǎn)品的區(qū)別在于，是一款堡壘機+主機管理的軟件。支持Linux主機操作審計，目前不支持Windows(已列入支持計劃)，并支持對主機進行批量命令、文件分發(fā)操作，后期還會加入計劃任務(wù)管理，敬請期待。

　　軟件git地址：

https://github.com/triaquae/CrazyEye.git 

如何一起愉快地發(fā)展

“高效運維”公眾號（如下二維碼）值得您的關(guān)注，作為高效運維系列微信群的唯一官方公眾號，每周發(fā)表多篇干貨滿滿的原創(chuàng)好文：來自于系列群的討論精華、運維講壇線上精彩分享及群友原創(chuàng)。“高效運維”也是互聯(lián)網(wǎng)專欄《高效運維最佳實踐》及運維2.0官方公眾號。

提示：目前高效運維新群已經(jīng)建立，歡迎加入。您可添加蕭田國個人微信號xiaotianguo8 為好友，進行申請，請備注“申請入群”。

重要提示：除非事先獲得授權(quán)，請在本公眾號發(fā)布2天后，才能轉(zhuǎn)載本文。尊重知識，請必須全文轉(zhuǎn)載，并包括本行。

 【編輯推薦】