《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —2.7 使用堡垒机增加系统访问的安全性

华章计算机 发表于 2019/11/14 11:58:04 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第2章,第2.7.1节,作者是胥峰。

2.7 使用堡垒机增加系统访问的安全性

堡垒机(Bastion Host)也被称为跳板机,是网络环境中一台特殊的服务器,它提供其他所有服务器的访问控制入口,也就是通过这台服务器来访问和管理其他所有服务器。

使用堡垒机的简化版网络架构图如图2-8所示。

与管理员直接从本机发起网络连接来管理所有服务器相比,使用一台或者多台分布式堡垒机可以提供更多的安全性。

统一登录来源。被管理服务器上仅仅开放更有限的访问来源IP地址。在管理员直接从本机发起网络连接来管理服务器的情况下,往往因为管理员来源IP地址是动态IP地址或者需要从多个场所访问而导致需要在所有被管理服务器上添加较多的白名单来源IP地址。在这些IP地址失效或者被多人共用的情况下,将成为严重的攻击面。在堡垒机模式下,所有被管理服务器上仅仅需要开放信任这些有限个堡垒机的出口IP地址,从而有效地减少了攻击面。

操作可审计。因为管理员从堡垒机上进行服务器的管理,所以其所有操作都可以被记录下来,而不用再依赖每台服务器上记录的操作日志。在每台服务器上非集中式管理操作日志的问题是,在发生了入侵事件后,黑客可以比较容易地删除独立服务器上的操作日志而导致无法追溯。采用堡垒机后,操作日志记录在堡垒机上,黑客无法删除这些操作审计日志。

可设置灵活的访问控制。比如:

在堡垒机上设置在某些时间段内不允许访问和管理***服务器,也是增加安全性的一个重要手段。

可以通过在堡垒机上设置可执行命令的范围(黑名单和白名单)来进一步提高安全性。

便于用户授权。通过在堡垒机上集中管理服务器的实际登录账号,可以避免把服务器的账号信息分散地交接给不同的维护人员,从而可以在一定程度上避免服务器登录信息的泄露和被恶意利用。

 image.png

图2-8 使用堡垒机的简化版网络架构图

2.7.1 开源堡垒机简介

1. Jumpserver

Jumpserver是一款优秀的开源堡垒机软件,其官方网站是http://www.jumpserver.org。Jumpserver提供的功能如表2-2所示。

表2-2 Jumpserver功能列表

image.png

image.png

 

2. 麒麟堡垒机

麒麟堡垒机是一款易部署、易使用、功能全面的堡垒机产品,其官方网站是http://www.tosec.com.cn。麒麟堡垒机提供开源版本和收费版本,这两个版本的特性对比如表2-3所示。

表2-3 麒麟堡垒机开源版和收费版特性对比

image.png


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。