一、堡壘機(jī)介紹、搭建簡(jiǎn)易堡壘機(jī)、安裝jailkit實(shí)現(xiàn)chroot、日志審計(jì)

一、堡壘機(jī)介紹

在一個(gè)特定網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受外界破壞，而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

我們又把堡壘機(jī)叫做跳板機(jī)，簡(jiǎn)易的跳板機(jī)功能簡(jiǎn)單，主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計(jì)。

比較優(yōu)秀的開源軟件jumpserver，它的功能主要為認(rèn)證、授權(quán)、審計(jì)、自動(dòng)化、資產(chǎn)管理。

商業(yè)堡壘機(jī)：齊治, Citrix XenApp。

二、搭建簡(jiǎn)易堡壘機(jī)

比較適合小型的企業(yè)，公司沒(méi)多少機(jī)器，但是為了登錄，安全，可以搭建一個(gè)簡(jiǎn)單的堡壘機(jī)（跳板機(jī)）。

功能：登錄公司內(nèi)網(wǎng)服務(wù)器，查找，審計(jì)你登錄到機(jī)器里做了哪些操作。

具備堡壘機(jī)的條件是，該機(jī)器有公司和私網(wǎng)，其中私網(wǎng)和機(jī)房其他機(jī)器互通（局域網(wǎng)）。

設(shè)計(jì)堡壘機(jī)思路：

跳板機(jī)安全設(shè)置（iptables端口限制、登錄限制sshd_config）

用戶、命令權(quán)限限制（jailkit) http://blog.chinaunix.net/uid-28310119-id-3503318.html

客戶機(jī)器日志審計(jì)，唯一的不足是不能在跳板機(jī)上做，只能在客戶機(jī)上做。

http://www.68idc.cn/help/server/linux/2014042190951.html

三、安裝jailkit實(shí)現(xiàn)chroot

#?cd?/usr/local/src
#?wget?https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
#?tar?jxvf?jailkit-2.19.tar.bz2
#?cd?jailkit-2.19
#?./configure?&&?make?&&?make?install
#?mkdir?/home/jail???//創(chuàng)建一個(gè)目錄，作為虛擬系統(tǒng)的根目錄

下面這四條命令就是把常用的一些命令、文件搞到虛擬系統(tǒng)的目錄里去。

#?jk_init?-v?-j?/home/jail/?basicshell????????//這條命令就是把shell相關(guān)的命令、庫(kù)文件搞到虛擬系統(tǒng)的根目錄下去。
#?jk_init?-v?-j?/home/jail/?editors???????????//編輯器vi，vim搞過(guò)去。
#?jk_init?-v?-j?/home/jail/?netutils??????????//網(wǎng)絡(luò)相關(guān)的。
#?jk_init?-v?-j?/home/jail/???ssh?????????????//遠(yuǎn)程登錄時(shí)用到的。
#?mkdir?/home/jail/usr/sbin
#?cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh???//相當(dāng)于是虛擬系統(tǒng)的一個(gè)shell，把它復(fù)制過(guò)去。
1、#?useradd?zhangsan????//原系統(tǒng)創(chuàng)建一個(gè)用戶，如果需要?jiǎng)?chuàng)建多個(gè)用戶，就從這一步開始，執(zhí)行這四步：1-4。
2、#?passwd?zhangsan
3、#?jk_jailuser?-m?-j?/home/jail?zhangsan????//在虛擬系統(tǒng)里創(chuàng)建一個(gè)用戶
#?cd?/home/jail/
[root@wbs?jail]#?cat?etc/passwd??//虛擬用戶zhangsan
root:x:0:0:root:/root:/bin/bash
zhangsan:x:1122:1122::/home/zhangsan:/usr/sbin/jk_lsh
//usr/sbin/jk_lsh這個(gè)shell是虛擬系統(tǒng)的shell，這個(gè)shell不能登錄，所以需要改成/bin/bash，這樣才能登錄虛擬用戶zhangsan
4、#?vim?/home/jail/etc/passwd?//把zhangsan那一行的/usr/sbin/jk_lsh改為/bin/bash
#?ls?/home/jail/???//可以看到常用的命令，庫(kù)文件都在虛擬系統(tǒng)的根目錄下了。
bin??dev??etc??home??lib64??usr

新建一個(gè)會(huì)話窗口，IP即本機(jī)的IP，用戶名zhangsan，密碼zhangsan，登錄，會(huì)看到兩行“bash: /usr/bin/id: No such file or directory”，因?yàn)橐獔?zhí)行/etc/profile，在這個(gè)里面沒(méi)有這個(gè)命令，不用關(guān)心。

$ ls -l / ? ?//可以看到只有那6個(gè)目錄

按兩下Tab鍵可以看到只有117個(gè)可用的命令，就都是bin下的命令。

創(chuàng)建密鑰登錄，在.ssh目錄下添加密鑰，還需要在原系統(tǒng)的# vi /etc/ssh/sshd_config設(shè)定只允許密鑰登錄，將PasswordAuthentication yes改為no。

還要限定iptables規(guī)則，把不需要的端口全部限制，不用的服務(wù)關(guān)掉。

還要限定登錄的源IP：
#?vi?/etc/hosts.allow
新增：
sshd:?192.168.149.0/24?1.1.1.1?2.2.2.2
#?vi?/etc/hosts.deny?????//除了允許的網(wǎng)段和IP，其他的全部拒絕，這樣就可以增加機(jī)器的安全系數(shù)。
sshd:?ALL

四、日志審計(jì)

下面的操作是在客戶端上做的一些限制，限制來(lái)源IP。

到另一臺(tái)機(jī)器，先限制/etc/hosts.allow和deny

在hosts.allow里新增sshd: 192.168.149.133 ? ?（跳板機(jī)IP）

在hosts.deny里新增sshd: ALL

這時(shí)候再重新登錄這一臺(tái)機(jī)器就不能登錄了。

到zhangsan那一臺(tái)可以登錄：

# ssh root@192.168.149.129

這樣就做成了一個(gè)跳板機(jī)。

登錄對(duì)方用戶的時(shí)候用zhangsan，因?yàn)楝F(xiàn)在這臺(tái)機(jī)器是zhangsan，所以對(duì)方機(jī)器也需要?jiǎng)?chuàng)建一個(gè)zhangsan的用戶。

以下操作是需要在所有被登錄機(jī)器上做的

#?mkdir?/usr/local/records
#?chmod?777?!$
#?chmod?+t?!$
#?vi?/etc/profile?//添加
?if?[?!?-d??/usr/local/records/${LOGNAME}?]?????//logname，判斷登錄的用戶名。
then
mkdir?-p?/usr/local/records/${LOGNAME}
chmod?300?/usr/local/records/${LOGNAME}?????//指定這個(gè)用戶只能寫和執(zhí)行。
fi
export?HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"???//指定一個(gè)記錄歷史命令的文件，下面的一條命令意思是將執(zhí)行的最后一條命令記錄到這個(gè)文件里去。
export?PROMPT_COMMAND='{?date?"+%Y-%m-%d?%T?#####?$(who?am?i?|awk?"{print?\$1\"?\"\$2\"?\"\$5}")?####?$(history?1?|?{?read?x?cmd;?echo?"$cmd";?})";?}?>>$HISTORY_FILE'

重新再登錄這臺(tái)機(jī)器
#?cd?/usr/local/records/
[root@MRX?records]#?ls
root
[root@MRX?records]#?cd?root/
[root@MRX?root]#?ls
bash_history
[root@MRX?root]#?tail?bash_history?
2019-10-01?19:32:06?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:19:58?vim?/etc/profile
2019-10-01?19:32:17?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:17?ls
2019-10-01?19:32:34?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:34?cd?/usr/local/records/
2019-10-01?19:32:35?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:35?ls
2019-10-01?19:32:37?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:37?cd?root/
2019-10-01?19:32:38?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:38?ls

這個(gè)不像系統(tǒng)里history，它只有在你正常退出這個(gè)終端后才會(huì)記錄這些命令，敲過(guò)的命令僅僅只是保存在內(nèi)存里的，并沒(méi)有記錄到文件里，要想記錄到文件里，必須要正常的退出，如果斷電了或者其他原因退出了，這些命令就記不進(jìn)去。但是這個(gè)日志審計(jì)就沒(méi)問(wèn)題。

[root@MRX?root]#?useradd?zhangsan????//創(chuàng)建一個(gè)zhangsan用戶
[root@MRX?root]#?passwd?zhangsan

再到跳板機(jī)登錄它：

[zhangsan@wbs?~]$?ssh?zhangsan@192.168.149.129

//然后隨意執(zhí)行一些命令，再到客戶端上看，就可以看到zhangsan用戶敲過(guò)的命令。

[root@MRX?records]#?ls
root??zhangsan

這種方法并不完美，是可以破解的，這只是一個(gè)簡(jiǎn)單的堡壘機(jī)，要想做一個(gè)完美的堡壘機(jī)，還需要借助一些專業(yè)的工具、軟件。