Python成长笔记 - 基础篇 （十三）--堡垒机

堡垒机架构 

堡垒机的主要做用权限控制和用户行为审计，堡垒机就像一个城堡的大门，城堡里的全部建筑就是你不一样的业务系统 ， 每一个想进入城堡的人都必须通过城堡大门并通过大门守卫的受权，每一个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑，且每一个建筑物还有本身的权限访问控制，不一样级别的人能够到建筑物里不一样楼层的访问级别也是不同的。还有就是，每一个进入城堡的人的全部行为和足迹都会被严格的监控和纪录下来，一旦发生犯罪事件，城堡管理人员就能够经过这些监控纪录来追踪责任人。 

 

 

 

堡垒要想成功彻底记到他的做用，只靠堡垒机自己是不够的， 还须要一系列安全上对用户进行限制的配合，堡垒机部署上后，同时要确保你的网络达到如下条件：

• 全部人包括运维、开发等任何须要访问业务系统的人员，只能经过堡垒机访问业务系统
  • 回收全部对业务系统的访问权限，作到除了堡垒机管理人员，没有人知道业务系统任何机器的登陆密码
  • 网络上限制全部人员只能经过堡垒机的跳转才能访问业务系统 
• 确保除了堡垒机管理员以外，全部其它人对堡垒机自己无任何操做权限，只有一个登陆跳转功能
• 确保用户的操做纪录不能被用户本身以任何方式获取到并篡改　　

 

堡垒机功能实现需求

业务需求:

1. 兼顾业务安全目标与用户体验，堡垒机部署后，不该使用户访问业务系统的访问变的复杂，不然工做将很难推动，由于没人喜欢改变现状，尤为是改变后生活变得更艰难
2. 保证堡垒机稳定安全运行， 没有100%的把握，不要上线任何新系统，即便有100%把握，也要作好最坏的打算，想好故障预案

功能需求：

1. 全部的用户操做日志要保留在数据库中
3. 每一个用户登陆堡垒机后，只须要选择具体要访问的设置，就链接上了，不须要再输入目标机器的访问密码
4. 容许用户对不一样的目标设备有不一样的访问权限，例:
1. 对10.0.2.34 有mysql 用户的权限
2. 对192.168.3.22 有root用户的权限
3. 对172.33.24.55 没任何权限
5. 分组管理，便可以对设置进行分组，容许用户访问某组机器，但对组里的不一样机器依然有不一样的访问权限　　　　

设计表结构: