运维堡垒机----Gateone

时间 2019-11-12

标签堡垒 gateone 繁體版

原文原文链接

简介：javascript

运维堡垒机的理念起源于跳板机。2000年左右，高端行业用户为了对运维人员的远程登陆进行集中管理，会在机房里部署跳板机。跳板机就是一台服务器，维护人员在维护过程当中，首先要统一登陆到这台服务器上，而后从这台服务器再登陆到目标设备进行维护。java

但跳板机并无实现对运维人员操做行为的控制和审计，使用跳板机过程当中仍是会有误操做、违规操做致使的操做事故，一旦出现操做事故很难快速定位缘由和责任人。node

2004年，人们认识到跳板机的不足，提出了如下运维操做管理理念：python

理念一：惟有控制才能真正解决问题linux

审计是过后行为，历来没有事前审计一说git

审计能够发现问题，可是没法防止问题发生github

只有在事前严格控制，才能从源头真正解决问题安全

理念二：系统帐号没法确认用户身份服务器

系统帐号的做用只是区分工做角色app

多人共用一个系统帐号是合理的

运维人员的流动不该影响系统帐号

理念三：人为操做不免会出问题

人有失手，马有失蹄

不怕出问题，就怕出问题找不到缘由

只要机器能作的，就不要人作

在这些理念的指引下，2005年先后，奇智科技研发出世界第一台运维堡垒机，自此运维堡垒机以一个独立的产品形态被普遍部署，有效地下降了运维操做风险，使运维操做管理变得更简单、更安全！

同时，首台运维堡垒机的访问代理模式，对运维人员的身份认证、对运维操做的访问控制和审计等功能，都被运维堡垒机产品一直沿用至今。

Gateone

安装部署

直接git下来就行

github地址：

https://github.com/liftoff/GateOne

git clone https://github.com/liftoff/GateOne.git

或者直接wget

wget https://codeload.github.com/liftoff/GateOne/zip/master

unzip master.zip

cd GateOne-master/

python setup.py install

gateone    # 执行启动命令

# 默认使用443端口

配置文件

[root@linux-node1 ~]# tree /etc/gateone/
/etc/gateone/
├── conf.d
│   ├── 10server.conf
│   ├── 20authentication.conf
│   └── 50terminal.conf
└── ssl
    ├── certificate.pem
    └── keyfile.pem

他是能够进行日志回放的，可是他也不是进行视频的录制，而是将他的内容存放到log中，经过javascript的方式展现出来。

下面我们分析下他是怎么回放的

[root@linux-node1 logs]# cd /usr/lib/python2.7/site-packages/gateone-1.2.0-py2.7.egg/gateone/applications/terminal/
[root@linux-node1 terminal]# ./logviewer.py --flat /var/lib/gateone/users/ANONYMOUS/logs/20160120105930970679-192.168.56.1.golog

其实就是使用上面的那个简本对日志数据进行的回放

gateone还能够嵌入到其余的平台中，嵌入方式以下：

[root@linux-node1 hello_embedded]# ll
total 20
-rw-r--r-- 1 root root 1050 Nov 23 02:26 certificate.pem
-rwxr-xr-x 1 root root 2248 Nov 23 02:26 hello_embedded_world.py
-rw-r--r-- 1 root root 1679 Nov 23 02:26 keyfile.pem
-rw-r--r-- 1 root root  176 Nov 23 02:26 README
drwxr-xr-x 3 root root 4096 Nov 23 02:26 static
[root@linux-node1 hello_embedded]# pwd
/usr/local/src/GateOne-master/gateone/tests/hello_embedded
[root@linux-node1 hello_embedded]# ./hello_embedded_world.py  --address=192.168.56.11
Now listening on https://192.168.56.11:443

这里的端口是能够本身指定的 --port=8888

而后访问