运维堡垒机学习笔记

虚拟化：应用虚拟化，xenapp

开源产品Gateone

功能

• 日志记录
• python编写细粒度权限控制
• html5，浏览器既可以使用
• 支持js，方便嵌入
• 支持多种验证方式

安装

https://github.com/liftoff/GateOne/
安装步骤如下：

yum install python2-pip -y
pip install --upgrade pip
pip install --upgrade setuptools
unzip GateOne-master.zip
cd GateOne-master/
python setup.py install

安装完成后输出如下内容：

Using /usr/lib/python2.7/site-packages
Finished processing dependencies for gateone==1.2.0
Entry points were created for the following:
console_scripts
gateone = gateone.core.server:main
go_applications
example = gateone.applications.example
terminal = gateone.applications.terminal
go_plugins
editor = gateone.plugins.editor
help = gateone.plugins.help
go_terminal_plugins
bookmarks = gateone.applications.terminal.plugins.bookmarks
convenience = gateone.applications.terminal.plugins.convenience
example = gateone.applications.terminal.plugins.example
html = gateone.applications.terminal.plugins.html
logging = gateone.applications.terminal.plugins.logging
notice = gateone.applications.terminal.plugins.notice
playback = gateone.applications.terminal.plugins.playback
ssh = gateone.applications.terminal.plugins.ssh

输入gateone命令启动后会自动在/etc/gateone/下生成配置文件:

# tree /etc/gateone
/etc/gateone
├── conf.d
│   ├── 10server.conf
│   ├── 20authentication.conf
│   └── 50terminal.conf
└── ssl
    ├── certificate.pem
    └── keyfile.pem

访问地址(默认端口443，默认https协议)：
https://192.168.57.100:443/

日志记录功能实现原理

默认用户数据存放于'/var/lib/gateone/'下，用户操log使用gzip压缩格式存放

# tree /var/lib/gateone/
/var/lib/gateone/
└── users
    └── ANONYMOUS
        ├── bookmarks.json
        └── logs
            └── 20170809100206777778-192.168.57.1.golog

通过‘logviewer.py’可以回放操作日志：
http://liftoff.github.io/GateOne/Developer/logviewer.html

gateone嵌入式开发

/root/GateOne-master/gateone/tests/hello_embedded/hello_embedded_world.py会启动一个网站介绍gateone嵌入开发案例

运维堡垒开发流程

1. web界面来管理权限 jumpserver。
2. 用户中心可以设置自己的公钥。
3. 在web界面上给用户分配主机。
4. 调用saltstack把公钥放到对应的主机上。
5. 用户在界面点击console，传私钥直接打开终端。
6. gateone做一些控制。

安全WAF

WAF概念

Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

• Apache 安全模块：modsecurity
• ngx_lua_waf

WAF开发

1. 解析HTTP请求 - 协议解析模块
2. 规则匹配 - 规则库
3. 防御动作 - 返回403？
4. 记录日志 - ELK
5. 配置模块 - OpenResty

https://github.com/unixhot/waf
lua语言快速入门 http://blog.jobbole.com/70480/

防护cc攻击：开源软件httpguard（OpenResty rua 开发）