• 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 频道栏目
    神奇公式秒杀全国11选5 > 系统 > Linux > 正文

    11选5任选8必中组合:?23.1 什么是堡垒机? ?23.2 搭建简易堡垒机 23.4 日志审计 ?23.3 安装jail-13097353-51CTO博客

    2019-05-07 18:17:34           
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com ?

    23.1 什么是堡垒机

    堡垒机,是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的***和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。

    我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。运维堡垒机的理念起源于跳板机。2000年左右,高端行业用户为了对运维人员的远程登录进行集中管理,会在机房里部署跳板机。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。

    堡垒机从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意***,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。

    安全审计作为企业信息安全建设不可缺少的组成部分,逐渐受到用户的关注,是企业安全体系中的重要环节。同时,安全审计是事前预防、事中预警的有效风险控制手段,也是事后追溯的可靠证据来源。

    为什么企业需要堡垒机?

    近年来数据安全事故频发,包括斯诺登事件、希拉里邮件丑闻以及携程宕机事件等,数据安全与防止泄露成为政府和企业都非常关心的议题,因此云堡垒机也应运而生。

    案例一:

    让我们共同回顾最具代表性的数据泄露引发的安全事故,美国著名的斯诺登事件。2013年6月,美国《华盛顿邮报》报道,美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报。洩露这些绝密文件的并非国家安全局的内部员工,而是国家安全局的外聘人员爱德华·斯诺登。

    斯诺登事件若放在今天,将不可能发生,因为我们有了云堡垒机!其中的管理员角色可以设置敏感操作的事前拦截、事中断开、事后审计,并且可以做到全程无代理实时监控。类似斯诺登这样的外聘人员将无法接触到这些敏感信息,更不用说泄露出来了。并且某些云堡垒机支持录屏功能也可以帮助用户进行审计和追责。

    案例二:

    2015年5月28日上午11点至晚上8点,在某旅游出行平台官网及APP上登录、下单或交易时,跳转均出现问题,导致操作无法顺利完成。造成直接经济损失巨大,按照其上一季度的财报公布的数据,宕机的损失为平均每小时106.48万美元。

    最终,平台回应此事称系由于员工误操作删除了服务器上的执行代码导致。不论是因为******还是员工误操作,真金白银800万美元的经验教训告诫我们对于数据的安全和备份必须要引起重视!云堡垒机能解决这2个问题,一是***面小,二是可定制双机备份。

    以上事实说明,云堡垒机对安全的重要程度不言而喻。

    比较优秀的用于搭建堡垒机的开源软件:jumpserver。主要功能有:认证、授权、审计、自动化、资产管理等。

    商业堡垒机的功能比开源的要强大,比较出名的有:齐治,Citrix XenApp等。

    23.2 搭建简易堡垒机思路

    堡垒机需要具有公网IP以及内网IP,其中内网IP用于和机房其他机器通信。公网IP是用于在外部登录,通过公网IP登录到堡垒机后,才能访问内网的机器,这一点和跳板机一样。

    搭建堡垒机,首先需要限制端口,留出可以远程登录的端口,其他的端口都封闭掉。然后还需要配置白名单IP,规定只有哪些IP可以登录,以及禁止密码登录,只允许密钥登录等,做这些事情的目的是为了增加堡垒机的安全性。

    除此之外,还需要限制登录的用户,限制为普通用户登录,和限制用户可以执行的命令等。

    还需要在客户机器上做日志审计。


    23.3 安装jailkit实现chroot

    安装jailkit实现chroot的目的是为了限制登录的用户能够执行的命令,因为要防止登录的用户对堡垒机进行其他的操作。jailkit可以把用户限制在一个虚拟的系统中,这个虚拟系统的环境是chroot的,让用户无法直接操作真实系统。

    编译安装jailkit:

    [[email protected]?~]#?cd?/usr/local/src/
    [[email protected]?/usr/local/src]#?wget?[[email protected]?/usr/local/src]#?tar?jxvf?jailkit-2.19.tar.bz2
    [[email protected]?/usr/local/src]#?cd?jailkit-2.19
    [[email protected]?/usr/local/src/jailkit-2.19]
    #?./configure?&&?make?&&?make?install
    [[email protected]?/usr/local/src/jailkit-2.19]#?echo?$?
    0
    [[email protected]?/usr/local/src/jailkit-2.19]
    #./configure?&&?make?&&?make?install
    ?echo?$?
    ?0

    创建一个目录作为虚拟系统的根目录:

    mkdir?/home/jail

    给虚拟系统初始化一些命令,让这个系统具有基本的文件结构、网络相关的以及常用命令等:

    ?

    jk_init?-v?-j?/home/jail/?basicshell
    ?jk_init?-v?-j?/home/jail/?editors
    ??jk_init?-v?-j?/home/jail/?netutils
    ???jk_init?-v?-j?/home/jail/?ssh

    初始化完成后/home/jail/下会生成以下几个目录:

    ls?/home/jail/

    创建真实系统的用户:

    useradd?jailUser
    passwd?jailUser
    更改用户?jailUser?的密码?。
    新的?密码:
    重新输入新的?密码:
    passwd:所有的身份验证令牌已经成功更新。

    创建虚拟系统的sbin目录,并拷贝虚拟系统的shell文件:

    mkdir?/home/jail/usr/sbin
    cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh

    创建虚拟系统的用户:

    jk_jailuser?-m?-j?/home/jail?jailUser

    编辑虚拟系统用户的密码文件内容如下:

    root:x:0:0:root:/root:/bin/bash
    jailUser:x:1011:1011::/home/jailUser:/bin/bash??#?改成/bin/bash后才能被远程登录

    完成以上操作后,远程登录一下jailUser这个账户:

    2f46bd6f4d7ec85c8927d7116cd53e46.png

    登录成功:

    ?


    ????????????????661a3719263f72f4e3b69a1e900ac72d.png

    相关TAG标签
    上一篇:怎样将高版本CAD图纸转换成低版本的DWG格式?-周周周1的博客-51CTO博客
    下一篇:MYSQL数据库备份还原,并还原到最新状态(mysqldump)-wx5af9a8e325bc6的博客-51CTO博客
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 机构投资者应合理审慎报价 2019-07-16
  • “2018上影之夜”姜文等为“谢晋经典电影回顾展”揭幕 2019-07-10
  • 交大钱学森学院举行毕业典礼 14毕业生赴世界排名前百大学读研 2019-07-10
  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 老快3历史开奖结果走势图 一肖中特免费公开料平 平码二中二赔多少倍 竞彩足球比分统计 黑龙江快乐十分开奖查询 体彩快中彩玩法 竞彩篮球大小分变化 ag真人娱乐造假 排列三排列五走势图 彩票走势图 p3试机号2011212 中国福彩快乐十分 福彩3d跨度走势图表百 真钱线上扎金花 网上特码资料大全075