堡壘機安裝部署測試文檔

-.z.堡壘機安裝部署測試及優(yōu)缺點總結(jié)近期出于管理和檢查需要，單位領(lǐng)導(dǎo)要求上堡壘機系統(tǒng)，測試了幾個商業(yè)堡壘機，因為價格超過預(yù)算等原因都未購買，又測試了三個開源的堡壘機，感覺麒麟開源堡壘機功能最全，基本上和商業(yè)堡壘機一樣，唯一的問題就是圖形部分不開源，但因為我們的服務(wù)器基本上全是LINU*環(huán)境，TELNET、SSH、FTP、SFTP已經(jīng)足夠了因此將這套堡壘機已經(jīng)用于生產(chǎn)環(huán)境。現(xiàn)在市場商業(yè)堡壘機價格太高，基本上都要到10萬左右，我結(jié)合在公司部署開源堡壘機的經(jīng)驗，將過程寫成文檔與大家分享。我測試的其它開源堡壘機基本上還是半成品，麒麟堡壘機基本上已經(jīng)是一個成品堡壘機，但是還是存在*些小BUG，可以自己修改源代碼改掉。麒麟堡壘機安裝條件：系統(tǒng)必須至少有二塊網(wǎng)卡,一塊網(wǎng)卡安裝時會報錯，如果是虛機虛2塊網(wǎng)卡出來。系統(tǒng)最低硬件配置為：Intel64位CPU、4G內(nèi)存、200G硬盤。（注意：32位CPU裝不上）。安裝過程：麒麟堡壘機安裝過程非常簡單，用光盤啟動，一回車，完全無人值守安裝，不需要任何的干涉（安裝過程贊一個，基本上可以給95分）。過程圖如下：插入光驅(qū)進行啟動，會到安裝界面，在”blj”那里直接回車（PS：如果使用筆記本進行虛機安裝，先選擇”InstallPcvm”，方式使用500MSWAP,默認安裝方式使用32GSWAP,這幾個安裝方式主要就是SWAP大小不同，如果使用虛機方式安裝堡壘機，有可能出現(xiàn)SWAP不夠用問題）。我的硬件物理機為8G內(nèi)存，普通的E3單個CPU，2T串口硬盤，安裝過程大約要等30分鐘左右，安裝完畢，系統(tǒng)重啟，退出光盤即可。系統(tǒng)配置：安裝過后，系統(tǒng)默認IP為，可以直接使用筆記本配置一個同網(wǎng)段的IP，然后直接連到ETH0上，使用IE輸入登錄，默認口令為admin/12345678，登錄后到系統(tǒng)配置-網(wǎng)絡(luò)配置-網(wǎng)絡(luò)配置中，編輯eth0口，將IP地址、掩碼、網(wǎng)關(guān)修改成自己的，點保存修改，系統(tǒng)會將IP修改為本地IP。麒麟堡壘機使用的Centos7.1系統(tǒng)（PS：太新了?。?，后臺登錄密碼也給了（這個太優(yōu)越于商用堡壘機了），技術(shù)大神可以直接到后臺修改IP即可，注意后臺SSH端口為2288，用戶名密碼為root/Baoleiji123系統(tǒng)配置好后，如果你要用圖形協(xié)議，需要找開發(fā)者申請圖形的Licenses，如果只用字符的，就可以直接使用了，我這里全是LINU*，因此沒有進行Licenses申請，麒麟堡壘機上線我主要做了四步：建立目錄結(jié)構(gòu)—導(dǎo)入堡壘機**（主**）—導(dǎo)入服務(wù)器**（從**）—主從**關(guān)聯(lián)授權(quán)，說真的，比商業(yè)堡壘機都要好用。建立目錄結(jié)構(gòu)：目錄是類于設(shè)備組和用戶組，麒麟堡壘機是LDAP結(jié)構(gòu)，組里可以放用戶也可以放設(shè)備，我覺得這點不方便，我是把用戶和設(shè)備分別建組，在添加用戶、設(shè)備時，一定要先加組，因為沒有組的話設(shè)備和用戶加不上。資源管理-資產(chǎn)管理-目錄管理，頁簽，單擊“增加新節(jié)點”；根據(jù)所要創(chuàng)建的組類型選擇“所屬目錄”與“屬性”。圖1PS：“節(jié)點名”輸入節(jié)點的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個父組，目錄樹可以無限級目錄，堡壘機配置前必須先將目錄樹配置完畢才能進行用戶和設(shè)備的導(dǎo)入，用戶和設(shè)備導(dǎo)入時，必須有配置好的目錄樹。導(dǎo)入堡壘機**（主**），菜單-資源管理-資產(chǎn)管理-用戶管理中，默認有四個**:Admin、Audit、Password、Test，如果**少，可以一個一個加，我這里運維人員有40多個，所以我用的導(dǎo)入方式，只要點一下導(dǎo)出就會下來一個CSV模版，按模版填進去再導(dǎo)回去就行了。導(dǎo)出后，CSV表只需要填：用戶名:運維人員登錄堡壘機時的名稱，要求唯一（必須填寫）密碼:運維人員登錄堡壘機時的密碼（必須填寫）真實**：運維人員的真實**（必須填寫）電子：運維人員的電子地址（選擇填寫）用戶權(quán)限：統(tǒng)一配置為普通用戶（必須填寫）組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)同樣名稱的資源組，則導(dǎo)入時需要用組名(id)方式：比如出現(xiàn)重名的first組，如果你想在界面中這個組加入，則組名為first(221)填好后，把第一行test那行刪除，然后點導(dǎo)入菜單，注意：一定要勾上加密！不然導(dǎo)進去用不了。7.服務(wù)器**（從**）導(dǎo)入，麒麟堡壘機在導(dǎo)入從**時會自動創(chuàng)建服務(wù)器，所以只需要在資源管理-資產(chǎn)管理-設(shè)備列表中導(dǎo)出一個CSV文件，按文件進行填寫，然后導(dǎo)入即可以完成設(shè)備、設(shè)備**的錄入：一般只需要A到H列，后面只要復(fù)制模版中的即可，各列說明如下:主機名：主機的名稱IP：主機的IP地址服務(wù)器組：服務(wù)器所屬組的ID號，因為目錄中允許同名稱的組，因此，服務(wù)器組用ID號替代，可以在資產(chǎn)管理-資源管理-目錄節(jié)點中查看ID號，如下圖：系統(tǒng)類型：主機的操作系統(tǒng)類型，必須在第一章中添加的或系統(tǒng)自帶的中選擇添加。系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項不填。當前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項可以不填。登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/*11，可以在這些登錄方式中選擇相應(yīng)的端口：登錄協(xié)議連接的目標端口過期時間：這個系統(tǒng)**的過期時間，如果超過過期時間，則不在允許登錄自動修改密碼：是否對這個**進行自動修改密碼（默認為否）主**：自動修改密碼時只使用一個**登錄修改主機上所有的用戶密碼，如果是主**，則填是，主**一般為root權(quán)限或可以sudo為root自動登錄：默認填是堡壘機用戶：均填否Sftp用戶：如果是SSH服務(wù)，則設(shè)置這個SSH用戶是否可以使用SFTP服務(wù)，是為允許，否為不允許公私鑰用戶：如果是SSH服務(wù)，設(shè)置這個SSH用戶認證是不是使用公私鑰方式，是或否填好后點導(dǎo)入按鈕導(dǎo)回，注意，也一定要勾上加密9.系統(tǒng)授權(quán)，堡壘機**（主**）、主機系統(tǒng)**（從**）導(dǎo)入完成后，需要進行賦權(quán)操作，賦權(quán)后堡壘機**（主**）登錄到堡壘機才能跳轉(zhuǎn)到相應(yīng)的設(shè)備。賦權(quán)操作如果一個堡壘機**（主**）有大量從**的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜單完成的，如果為堡壘機**（主**）臨時添加一個從**的賦權(quán)，則也可以在主機設(shè)備**菜單中完成。賦權(quán)操作最好按用戶組的方式進行賦，即將權(quán)限相同的用戶放在同一個用戶組中，然后為這個用戶組創(chuàng)建一個系統(tǒng)用戶組，將這些用戶擁有權(quán)限的主機設(shè)備**都加到這個組中，然后將這個系統(tǒng)用戶組綁定給這個用戶組，如果每個用戶的權(quán)限都不一樣，也可以為單獨的用戶劃分系統(tǒng)用戶組后進行授權(quán)。單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”；填寫“系統(tǒng)用戶組”名，選中“未選設(shè)備”中系統(tǒng)用戶添加到“已選設(shè)備”，確定已經(jīng)選中想要賦權(quán)的堡壘機用戶組的所有系統(tǒng)**后，點擊“保存”；單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“操作”欄中“授權(quán)”，勾選“授權(quán)組”或“授權(quán)用戶”，配置完成單擊“保存修改”；授權(quán)后，組中的用戶或被授權(quán)的用戶，就擁有了這個系統(tǒng)用戶組中所有的主機系統(tǒng)**的權(quán)限。到此，堡壘機的設(shè)置就完成了，下面說一說我的心得堡壘機對于運維人員有幾個好的地方：1.麒麟