[[158050]] 

　　嘉賓介紹

Alex，多年運(yùn)維+自動(dòng)化開發(fā)經(jīng)驗(yàn)，曾任職公安部、飛信、Nokia中國(guó)、中金公司、Advent軟件、汽車之家等公司，目前任老男孩教育Python教學(xué)總監(jiān)，熱愛技術(shù)、電影、音樂、旅游、妹子！

　　主題簡(jiǎn)介

　　CrazyEye碉堡機(jī)誕生記及主要功能介紹，文末會(huì)有本軟件的開源地址，謝謝關(guān)注！

　　正文

　　假期姑娘們都不在身邊，又不想到處去看人海，所以呆在家里開發(fā)了個(gè)堡壘機(jī)，現(xiàn)已開源，歡迎大家試用，在使用前，容我先跟大家介紹下堡壘機(jī)的重要性!

　　到目前為止，很多公司對(duì)堡壘機(jī)依然不太感冒，其實(shí)是沒有充分認(rèn)識(shí)到堡壘機(jī)在IT管理中的重要作用，很多人覺得，堡壘機(jī)就是跳板機(jī)，其實(shí)這個(gè)認(rèn)識(shí)是不全面的，跳板功能只是堡壘機(jī)所具備的功能屬性中的其中一項(xiàng)而已，下面我就給大家介紹一下堡壘機(jī)的重要性，以幫助大家參考自己公司的業(yè)務(wù)是否需要部署堡壘機(jī)。

　　堡壘機(jī)有以下兩個(gè)至關(guān)重要的功能，權(quán)限管理和審計(jì)管理，以下我們分別論述之。

　　權(quán)限管理

　　當(dāng)你公司的服務(wù)器變的越來越多后，需要操作這些服務(wù)器的人就肯定不只是一個(gè)運(yùn)維人員，同時(shí)也可能包括多個(gè)開發(fā)人員，那么這么多的人操作業(yè)務(wù)系統(tǒng)，如果權(quán)限分配不當(dāng)就會(huì)存在很大的安全風(fēng)險(xiǎn)，舉幾個(gè)場(chǎng)景例子：

　　1.設(shè)想你們公司有300臺(tái)Linux服務(wù)器，A開發(fā)人員需要登錄其中5臺(tái)WEB服務(wù)器查看日志或進(jìn)行問題追蹤等事務(wù)，同時(shí)對(duì)另外10臺(tái)hadoop服務(wù)器有root權(quán)限。

　　在有300臺(tái)服務(wù)器規(guī)模的網(wǎng)絡(luò)中，按常理來講你是已經(jīng)使用了ldap權(quán)限統(tǒng)一認(rèn)證的，你如何使這個(gè)開發(fā)人員只能以普通用戶的身份登錄5臺(tái)web服務(wù)器。

　　并且同時(shí)允許他以管理員的身份登錄另外10臺(tái)hadoop服務(wù)器呢?并且同時(shí)他對(duì)其它剩下的200多臺(tái)服務(wù)器沒有訪問權(quán)限。

　　2.目前據(jù)我了解，很多公司的運(yùn)維團(tuán)隊(duì)為了方便，整個(gè)運(yùn)維團(tuán)隊(duì)的運(yùn)維人員還是共享同一套root密碼，這樣內(nèi)部信任機(jī)制雖然使大家的工作方便了，但同時(shí)存在著極大的安全隱患。

　　很多情況下，一個(gè)運(yùn)維人員只需要管理固定數(shù)量的服務(wù)器，畢竟公司分為不同的業(yè)務(wù)線，不同的運(yùn)維人員管理的業(yè)務(wù)線也不同，但如果共享一套root密碼，其實(shí)就等于無(wú)限放大了每個(gè)運(yùn)維人員的權(quán)限。

　　也就是說，如果某個(gè)運(yùn)維人員想干壞事的話，他可以在幾分鐘內(nèi)把整個(gè)公司的業(yè)務(wù)停轉(zhuǎn)，甚至數(shù)據(jù)都給刪除掉。

　　為了降低風(fēng)險(xiǎn)，于是有人想到，把不同業(yè)務(wù)線的root密碼改掉就ok了么，也就是每個(gè)業(yè)務(wù)線的運(yùn)維人員只知道自己的密碼，這當(dāng)然是最簡(jiǎn)單有效的方式。

　　但問題是如果你同時(shí)用了ldap，這樣做又比較麻煩，即使你設(shè)置了root不通過ldap認(rèn)證，那新問題就是，每次有運(yùn)維人員離職，他所在的業(yè)務(wù)線的密碼都需要重新改一次。

　　其實(shí)上面的問題，我覺得可以很簡(jiǎn)單的通過堡壘機(jī)來實(shí)現(xiàn)，收回所有人員的直接登錄服務(wù)器的權(quán)限，所有的登錄動(dòng)作都通過堡壘機(jī)授權(quán)。

　　運(yùn)維人員或開發(fā)人員不知道遠(yuǎn)程服務(wù)器的密碼，這些遠(yuǎn)程機(jī)器的用戶信息都綁定在了堡壘機(jī)上，堡壘機(jī)用戶只能看到他能用什么權(quán)限訪問哪些遠(yuǎn)程服務(wù)器。

　　在回收了運(yùn)維或開發(fā)人員直接登錄遠(yuǎn)程服務(wù)器的權(quán)限后，其實(shí)就等于你們公司生產(chǎn)系統(tǒng)的所有認(rèn)證過程都通過堡壘機(jī)來完成了，堡壘機(jī)等于成了你們生產(chǎn)系統(tǒng)的SSO(single sign on)模塊了。你只需要在堡壘機(jī)上添加幾條規(guī)則就能實(shí)現(xiàn)以下權(quán)限控制了：

　　允許A開發(fā)人員通過普通用戶登錄5臺(tái)web服務(wù)器，通過root權(quán)限登錄10臺(tái)hadoop服務(wù)器，但對(duì)其余的服務(wù)器無(wú)任務(wù)訪問權(quán)限。

　　多個(gè)運(yùn)維人員可以共享一個(gè)root賬戶，但是依然能分辨出分別是誰(shuí)在哪些服務(wù)器上操作了哪些命令，因?yàn)楸緳C(jī)賬戶是每個(gè)人獨(dú)有的。

　　也就是說雖然所有運(yùn)維人員共享了一同一個(gè)遠(yuǎn)程root賬戶，但由于他們用的堡壘賬戶都是自己獨(dú)有的，因此依然可以通過堡壘機(jī)控制每個(gè)運(yùn)維人員訪問不同的機(jī)器。

　　創(chuàng)建主機(jī)

　　創(chuàng)建遠(yuǎn)程用戶

　　創(chuàng)建主機(jī)與遠(yuǎn)程用戶綁定關(guān)系

　　創(chuàng)建CrazyEye賬戶

　　配置WebSSH

　　#p#

CrazyEye首頁(yè)

　　批量命令

　　批量文件分發(fā)

　　配置頁(yè)

　　審計(jì)管理

　　審計(jì)管理其實(shí)很簡(jiǎn)單，就是把用戶的所有操作都紀(jì)錄下來，以備日后的審計(jì)或者事故后的追責(zé)。在紀(jì)錄用戶操作的過程中有一個(gè)問題要注意，就是這個(gè)紀(jì)錄對(duì)于操作用戶來講是不可見的，什么意思?

　　就是指，無(wú)論用戶愿不愿意，他的操作都會(huì)被紀(jì)錄下來，并且，他自己如果不想操作被紀(jì)錄下來，或想刪除已紀(jì)錄的內(nèi)容，這些都是他做不到的，這就要求操作日志對(duì)用戶來講是不可見和不可訪問的，通過堡壘機(jī)就可以很好的實(shí)現(xiàn)。

　　審計(jì)By用戶

　　審計(jì)By主機(jī)

　　審計(jì)—命令操作詳細(xì)

　　開源

　　CrazyEye 和其他開源產(chǎn)品的區(qū)別在于，是一款堡壘機(jī)+主機(jī)管理的軟件。支持Linux主機(jī)操作審計(jì)，目前不支持Windows(已列入支持計(jì)劃)，并支持對(duì)主機(jī)進(jìn)行批量命令、文件分發(fā)操作，后期還會(huì)加入計(jì)劃任務(wù)管理，敬請(qǐng)期待。

　　軟件git地址：

https://github.com/triaquae/CrazyEye.git 

如何一起愉快地發(fā)展

“高效運(yùn)維”公眾號(hào)（如下二維碼）值得您的關(guān)注，作為高效運(yùn)維系列微信群的唯一官方公眾號(hào)，每周發(fā)表多篇干貨滿滿的原創(chuàng)好文：來自于系列群的討論精華、運(yùn)維講壇線上精彩分享及群友原創(chuàng)。“高效運(yùn)維”也是互聯(lián)網(wǎng)專欄《高效運(yùn)維最佳實(shí)踐》及運(yùn)維2.0官方公眾號(hào)。

提示：目前高效運(yùn)維新群已經(jīng)建立，歡迎加入。您可添加蕭田國(guó)個(gè)人微信號(hào)xiaotianguo8 為好友，進(jìn)行申請(qǐng)，請(qǐng)備注“申請(qǐng)入群”。

重要提示：除非事先獲得授權(quán)，請(qǐng)?jiān)诒竟娞?hào)發(fā)布2天后，才能轉(zhuǎn)載本文。尊重知識(shí)，請(qǐng)必須全文轉(zhuǎn)載，并包括本行。

 【編輯推薦】