开源堡垒机teleport测试

开源堡垒机teleport测试

一、需求引入

　　最近我们云上的堡垒机不是过期（一年期）就是授权到期。过期顾名思义就是买了一年期的堡垒机到期啦（阿里云），天翼的堡垒机授权到期提醒就不知道啥情况了（本人一直感觉天翼的东西都比较奇奇怪怪的：问题多、破事多、还不稳定。。唯一比阿里好的是工单回复24小时有效，试过半夜11点多还打电话来的）

 　　然后跟电信的客户经理反馈这个问题（系统天天发消息），说给我紧急安排续订，周三的时候说弄个临时授权文件给我导进去，周四再给我申请正式授权。而且，叫我导进去的时间还要求是半夜12点左右，就是周四凌晨。于是那晚我提前闭目养神，调了个23:55分的闹钟，一到12点干活，发现不行，幸好那会有值班人员，说第二天早上给我跟进申请，然而也拯救不了第二天被同事说眼睛肿胀的问题（虽然12点10分左右导不进去，已放弃上床睡觉，但是像打了鸡血一样折腾到1点多才睡得着）

 二、需求实现--部署篇

　　第二天上班，堡垒机果然登不上了。准确地来说，是堡垒机客户端登不上了，远程连接工具直连还是可以的。

  

 　　对于这个问题，我细思极恐。如果直连也封了，意味着我要登陆控制台，各个机器的ssh端口都要开起来，目前做的端口规则开放都是尽可能最小范围的。这样子会搞到我工作量异常大。如果突然需要紧急连多台服务器，刚好把端口开起来生效时间没那么快。。。等着一大坨人围着吧~~~

　　流水文说完。。。正题来了，为啥不搞个自己完全管辖范围内的堡垒机？！

　　我很久以前就听说过jumpserver，不过也知道这玩意资源耗费大，而且装起来也有点麻烦。就找了这款新出的teleport。

　　部署参考文档如下（排名不分先后）：　　

（1）http://www.itcast.cn/news/20191213/17354333008.shtml

（2）https://tp4a.com/

（3）https://docs.tp4a.com/config/

　　装的是3.2.2版本，二进制包下载解压，运行 ./setup.sh 即可。

默认安装路径： /usr/local/teleport，目录结构非常清晰。

[root@baolj-227 ~]# ls /usr/local/teleport/
bin  data  start.sh  status.sh  stop.sh  www
[root@baolj-227 ~]# ls /usr/local/teleport/data
db  etc  log  replay  tmp

　　因为默认数据库是：sqlite，不熟悉就换mysql吧

yum install -y mariadb-server mariadb-devel
systemctl start mariadb
systemctl enable mariadb

　　记得建库，而且必须要指定编码，不然装完中文显示问号

create database teleport default character set utf8 collate utf8_general_ci;

 三、需求实现--测试篇

　　用了两天时间测试teleport，毛病是有的，但瑕不掩瑜，基本功能都有了~~~（等领导决定最终是否使用吧）

　　以下记录一些问题：

1、装teleport助手

装好服务器之后，需要装对应的客户端（官方有mac，windows版本的，大家自行下载），这里叫teleport助手，用来辅助远程连接的。

　

2、支持linux，windows操作回放

　　只要windows远程桌面端口3389没关，windows录像能看的（我特别喜欢这种放电影的感觉，啊哈哈哈）。倍速、快进任君选择。

3、内网机器能只开放堡垒机连接（默认192.168.0.0/24的机器都能连），方便统一入口

我的teleport的ip是192.168.0.227。

## 只开 22 端口给堡垒机，其他关
[root@测试机器 ~]# iptables -I INPUT -s 192.168.0.227 -p tcp --dport 22 -j ACCEPT
[root@测试机器 ~]# iptables -I INPUT -p tcp --dport 22 -j DROP

4、登陆方式修改为只能用身份验证器动态密码

默认堡垒机登陆方式为账号密码登陆，现在修改成用动态密码登

 

luojiayi 再重新登陆，发现已不允许账号密码登陆，只能选择身份验证器登陆。

另外推荐的微信小程序：二次验证码进行收验证码~~免安装，直接用，好评！

 

 　　这里有一个坑的地方：绑定身份验证器的时候，需要检查服务器时间要跟手机时间对应上，不然动态密码输入会报错的。

系统的一些问题发现：

1、批量添加主机和账号，模板导入的时候，账号密码发现导不成功，再看操作文档才发现要分两行写。

 https://docs.tp4a.com/guide_asset/

2、会话审计里，会话列表可以看到录像回放，但日志是空的：

 3、主机登录账号设置秘钥登陆不起效。

按照文档设置，无论测的是root还是普通账号，都不行，俺有点百思不得其解。

 https://docs.tp4a.com/guide_asset/#12

 

 当然有褒就有贬：

　　这个是我极力认同的问问题原则，文章提到了，非常好：先自行思考，借助搜索引擎查找答案，最后再问人。有官方文档的先阅读，不要啥都没有做尝试，就无脑去问人，大家时间都挺宝贵的~~~