关于如何搭建一个核心管理服务器的问题
31 views
Skip to first unread message
机械唯物主义 : linjunhalida
Nov 2, 2015, 3:22:11 AM11/2/15
to shlug
Hi All,
一个很常见的问题:
小团队,几个开发者,一堆的服务器,每个开发者有部分服务器的操作权限。
简单的管理:每个服务器上面大家自己加自己的ssh pubkey,需要的时候登录服务器操作。
缺点:
- 服务器开放ssh端口,非常不安全
- 服务器上面谁登录了不知道,因为大家都用同一个admin帐号(比如ubuntu)
- 难以修改ssh key,需要登录到服务器上面去改
我想的解决方案:
- 一个核心堡垒机,很完善的安全加固
- 服务器只开放ssh给堡垒机
- 堡垒机设置用户,他们的pubkey,以及可以访问的服务器权限
- 监控用户操作,记录日志,发现问题告警
- 堡垒机挂掉后有应急访问服务器的方案
请问大家有没有类似的开源或者公开的解决方案吗?谢谢~
这个问题我在SO上面提问了: http://serverfault.com/questions/733205/centralized-audit-server-solution-for-mutiple-server-management
--
Coder, Gamer, Reader.
一个很常见的问题:
小团队,几个开发者,一堆的服务器,每个开发者有部分服务器的操作权限。
简单的管理:每个服务器上面大家自己加自己的ssh pubkey,需要的时候登录服务器操作。
缺点:
- 服务器开放ssh端口,非常不安全
- 服务器上面谁登录了不知道,因为大家都用同一个admin帐号(比如ubuntu)
- 难以修改ssh key,需要登录到服务器上面去改
我想的解决方案:
- 一个核心堡垒机,很完善的安全加固
- 服务器只开放ssh给堡垒机
- 堡垒机设置用户,他们的pubkey,以及可以访问的服务器权限
- 监控用户操作,记录日志,发现问题告警
- 堡垒机挂掉后有应急访问服务器的方案
请问大家有没有类似的开源或者公开的解决方案吗?谢谢~
这个问题我在SO上面提问了: http://serverfault.com/questions/733205/centralized-audit-server-solution-for-mutiple-server-management
--
Coder, Gamer, Reader.
Shell Xu
Nov 2, 2015, 4:13:37 AM11/2/15
to shlug
你要付费的话我就中介一笔生意了。你要免费的话,http://www.jumpserver.org/搞不搞的定?搞不定我也没办法了。。。
--
Coder, Gamer, Reader.
--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项,请访问 https://groups.google.com/d/optout。
彼節者有間,而刀刃者無厚;以無厚入有間,恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/blog/
blog: http://shell909090.org/blog/
机械唯物主义 : linjunhalida
Nov 2, 2015, 4:34:24 AM11/2/15
to shlug
看到有这方面的讨论:
http://radar.oreilly.com/2014/01/is-the-jump-box-obsolete.html
好像不建议用跳板机的样子
> 您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。
http://radar.oreilly.com/2014/01/is-the-jump-box-obsolete.html
好像不建议用跳板机的样子
> 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到shlug+un...@googlegroups.com。
> 要查看更多选项,请访问https://groups.google.com/d/optout。
--
Coder, Gamer, Reader.
> 要查看更多选项,请访问https://groups.google.com/d/optout。
--
Chaos Eternal
Nov 3, 2015, 10:21:19 PM11/3/15
to sh...@googlegroups.com
1. 传统的ssh key不能revoke, 不建议使用
2. 可以用带certificate的ssh key, 新版本的openssh支持。
3. 每个人一个帐号,如果需要root权限,必须用sudo !!!
4. 堡垒机不靠谱,完全不靠谱。
5. sudo + script 就可以做堡垒机做的事情。
6. ssh端口暴露不是问题,有问题是你没把root/ubuntu这些帐号的密码登录关掉。
7. 对于现在的开发者,我强烈建议使用cloud foundry 这样的paas解决方案,而不是自己去拼机器。
2. 可以用带certificate的ssh key, 新版本的openssh支持。
3. 每个人一个帐号,如果需要root权限,必须用sudo !!!
4. 堡垒机不靠谱,完全不靠谱。
5. sudo + script 就可以做堡垒机做的事情。
6. ssh端口暴露不是问题,有问题是你没把root/ubuntu这些帐号的密码登录关掉。
7. 对于现在的开发者,我强烈建议使用cloud foundry 这样的paas解决方案,而不是自己去拼机器。
Shell Xu
Nov 17, 2015, 3:23:39 AM11/17/15
to shlug
刚刚试了ssh的CERTIFICATES,还不错。但是这货好像不支持ssh-agent。在私钥加密又加到ssh-agent里的情况下,会重新提示输入密码。
就是这样么?还是我配错了?
就是这样么?还是我配错了?
Xu Xin
Nov 20, 2015, 4:25:32 PM11/20/15
to sh...@googlegroups.com
小团队的话,手工注册每个人的 ssh key,专人管理,定期人肉提醒更新和过期;即使是传统的不带 certification 的 ssh key 也还可以了…
- Xin
- Xin
Reply all
Reply to author
Forward
0 new messages