运维堡垒机(跳板机)系统 python

运维 系统运维
相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能。

相信各位对堡垒机(跳板机)不陌生,为了保证服务器安全,前面加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有 身份认证,授权,访问控制,审计等功能,笔者用Python基本实现了上述功能。

架构:

堡垒机架构

后端主要技术是LDAP,配置了LDAP集中认证服务器, 所有服务器的认证都是由ldap完成的,我的做法是每个用户一个密码,把密码加密放到了数据库中,当用户输入ip从跳板机登陆服务器的时候,跳板机系统取出密码,并解密,通过pexpect模块将密码发送过去,来完成登录的。

 

登录界面和方法

用户登录跳板机,用的是秘钥认证,登录跳板机后会自动执行跳板机的系统

界面1

输入完整IP或者部分IP可以完成登录,如果输入的部分ip匹配的ip不是唯一,会有提示,没有权限的会提示没有权限

界面3

界面4

输入P/p可以查看自己拥有权限的服务器ip

界面5  

输入E/E可以在几台服务器上执行同样的命令,IP直接以逗号分隔

界面6

日志记录

日志记录用的是pexpect自带的日志记录,记录的日志既保存了命令又保存了命令的输出,也不小心讲发送的密码记录(不满意),pexpect模块处理有些难做,我的想法是将日志每天再处理一遍,将密码等去掉,日志保存在logs目录下面,文件名是 ip_日期_用户名 ps:用的chinaren登录的,提示窗口却是baidutest,这是由于我个人原因导致的。

http://laoguang.blog.51cto.com Free Linux, Share Linux

日志1

日志2

访问控制和授权

访问控制和授权是由一套web来实现的

管理员界面

主页:

web1

查看用户:

web2

添加用户:

web3

主机列表:

主机1

添加主机:

主机2

权限列表:

权限1

权限2

添加权限:

权限添加

添加权限

后面的pptp和openvpn添加是我根据需要添加的,可以去掉

用户登录界面:

用户界面

更改登录密码:

修改密码

修改key密码:

修改keypass

 

我把代码放到 github了,有需要的朋友,可以去看看,大家也可以一同改进,有时间写写部署文档

https://github.com/ibuler/jumpserver

博文链接:http://laoguang.blog.51cto.com/6013350/1540080

责任编辑:牛小雨 来源: 51CTO
相关推荐

2016-10-09 15:09:52

Linux架构实现跳板机

2016-10-09 14:48:14

Linux整体架构跳板机

2013-12-20 13:22:50

2022-06-23 07:05:46

跳板机服务器PAM

2015-12-03 10:51:16

2016-06-17 09:49:42

2013-12-27 10:48:55

2021-06-01 09:23:52

堡垒机网络攻击防火墙

2011-04-27 12:42:04

智恒SAS运维安全审计IT资源堡垒

2017-10-17 14:20:29

2012-12-04 17:49:56

LanSecS内控堡垒主机企业运维安全

2012-05-17 12:55:01

电信运维天玥

2016-04-13 10:56:39

2016-06-01 15:00:54

云计算运维审计系统

2017-11-23 15:22:02

开源FIT2CLOUD混合云

2009-07-01 11:52:00

IT运维管理信息化智能化

2019-04-20 21:25:19

堡垒机下一代堡垒机汉领信息

2013-04-12 13:30:47

2011-02-28 14:14:06

2020-08-13 08:02:15

堡垒机远程登录
点赞
收藏

51CTO技术栈公众号