• 周四. 6月 30th, 2022

5G编程聚合网

5G时代下一个聚合的编程学习网

热门标签

开源堡垒机teleport测试

admin

11月 28, 2021

开源堡垒机teleport测试

一、需求引入

  最近我们云上的堡垒机不是过期(一年期)就是授权到期。过期顾名思义就是买了一年期的堡垒机到期啦(阿里云),天翼的堡垒机授权到期提醒就不知道啥情况了(本人一直感觉天翼的东西都比较奇奇怪怪的:问题多、破事多、还不稳定。。唯一比阿里好的是工单回复24小时有效,试过半夜11点多还打电话来的

   然后跟电信的客户经理反馈这个问题(系统天天发消息),说给我紧急安排续订,周三的时候说弄个临时授权文件给我导进去,周四再给我申请正式授权。而且,叫我导进去的时间还要求是半夜12点左右,就是周四凌晨。于是那晚我提前闭目养神,调了个23:55分的闹钟,一到12点干活,发现不行,幸好那会有值班人员,说第二天早上给我跟进申请,然而也拯救不了第二天被同事说眼睛肿胀的问题(虽然12点10分左右导不进去,已放弃上床睡觉,但是像打了鸡血一样折腾到1点多才睡得着)

 二、需求实现–部署篇

  第二天上班,堡垒机果然登不上了。准确地来说,是堡垒机客户端登不上了,远程连接工具直连还是可以的。

  

   对于这个问题,我细思极恐。如果直连也封了,意味着我要登陆控制台,各个机器的ssh端口都要开起来,目前做的端口规则开放都是尽可能最小范围的。这样子会搞到我工作量异常大。如果突然需要紧急连多台服务器,刚好把端口开起来生效时间没那么快。。。等着一大坨人围着吧~~~

  流水文说完。。。正题来了,为啥不搞个自己完全管辖范围内的堡垒机?!

  我很久以前就听说过jumpserver,不过也知道这玩意资源耗费大,而且装起来也有点麻烦。就找了这款新出的teleport。

  部署参考文档如下(排名不分先后):  

  装的是3.2.2版本,二进制包下载解压,运行 ./setup.sh 即可。

默认安装路径: /usr/local/teleport,目录结构非常清晰。

[[email protected]227 ~]# ls /usr/local/teleport/
bin  data  start.sh  status.sh  stop.sh  www
[[email protected]-227 ~]# ls /usr/local/teleport/data
db  etc  log  replay  tmp

  因为默认数据库是:sqlite,不熟悉就换mysql吧

1 yum install -y mariadb-server mariadb-devel
2 systemctl start mariadb
3 systemctl enable mariadb

  记得建库,而且必须要指定编码,不然装完中文显示问号

create database teleport default character set utf8 collate utf8_general_ci;

 三、需求实现–测试篇

  用了两天时间测试teleport,毛病是有的,但瑕不掩瑜,基本功能都有了~~~(等领导决定最终是否使用吧)

  以下记录一些问题:

1、装teleport助手

装好服务器之后,需要装对应的客户端(官方有mac,windows版本的,大家自行下载),这里叫teleport助手,用来辅助远程连接的。

 

2、支持linux,windows操作回放

  只要windows远程桌面端口3389没关,windows录像能看的(我特别喜欢这种放电影的感觉,啊哈哈哈)。倍速、快进任君选择。

3、内网机器能只开放堡垒机连接(默认192.168.0.0/24的机器都能连),方便统一入口

我的teleport的ip是192.168.0.227。

## 只开 22 端口给堡垒机,其他关
[[email protected]测试机器 ~]# iptables -I INPUT -s 192.168.0.227 -p tcp --dport 22 -j ACCEPT
[[email protected]测试机器 ~]# iptables -I INPUT -p tcp --dport 22 -j DROP

4、登陆方式修改为只能用身份验证器动态密码

默认堡垒机登陆方式为账号密码登陆,现在修改成用动态密码登

 

luojiayi 再重新登陆,发现已不允许账号密码登陆,只能选择身份验证器登陆。

另外推荐的微信小程序:二次验证码进行收验证码~~免安装,直接用,好评!

 

   这里有一个坑的地方:绑定身份验证器的时候,需要检查服务器时间要跟手机时间对应上,不然动态密码输入会报错的。

系统的一些问题发现:

1、批量添加主机和账号,模板导入的时候,账号密码发现导不成功,再看操作文档才发现要分两行写。

 https://docs.tp4a.com/guide_asset/

2、会话审计里,会话列表可以看到录像回放,但日志是空的:

 3、主机登录账号设置秘钥登陆不起效。

按照文档设置,无论测的是root还是普通账号,都不行,俺有点百思不得其解。

 https://docs.tp4a.com/guide_asset/#12

 

 当然有褒就有贬:

  这个是我极力认同的问问题原则,文章提到了,非常好:先自行思考,借助搜索引擎查找答案,最后再问人。有官方文档的先阅读,不要啥都没有做尝试,就无脑去问人,大家时间都挺宝贵的~~~

发表评论

您的电子邮箱地址不会被公开。