前言: 好幾天沒寫博客了哈,這篇博客主要介紹堡壘機的功能與作用。之前沒聽過堡壘機的可以看看,還較詳細地講了數(shù)據(jù)庫表結構的設計,寫完這篇博客,感覺數(shù)據(jù)庫真是博大精深……本來還想把這個項目做完的……but ...待更新吧……

 

一、前景介紹

到目前為止,很多公司對堡壘機依然不太感冒,其實是沒有充分認識到堡壘機在IT管理中的重要作用的,很多人覺得,堡壘機就是跳板機,其實這個認識是不全面的,跳板功能只是堡壘機所具備的功能屬性中的其中一項而已,下面我就給大家介紹一下堡壘機的重要性,以幫助大家參考自己公司的業(yè)務是否需要部署堡壘機。
堡壘機有以下兩個至關重要的功能:

  • 權限管理

  • 審計功能

 

1. 權限管理

當你公司的服務器變的越來越多后,需要操作這些服務器的人就肯定不只是一個運維人員,同時也可能包括多個開發(fā)人員,那么這么多的人操作業(yè)務系統(tǒng),如果權限分配不當就會存在很大的安全風險,舉幾個場景例子:

  1. 設想你們公司有300臺Linux服務器,A開發(fā)人員需要登錄其中5臺WEB服務器查看日志或進行問題追蹤等事務,同時對另外10臺hadoop服務器有root權限,在有300臺服務器規(guī)模的網(wǎng)絡中,按常理來講你是已經(jīng)使用了ldap權限統(tǒng)一認證的,你如何使這個開發(fā)人員只能以普通用戶的身份登錄5臺web服務器,并且同時允許他以管理員的身份登錄另外10臺hadoop服務器呢?并且同時他對其它剩下的200多臺服務器沒有訪問權限

  2. 目前據(jù)我了解,很多公司的運維團隊為了方便,整個運維團隊的運維人員還是共享同一套root密碼,這樣內部信任機制雖然使大家的工作方便了,但同時存在著極大的安全隱患,很多情況下,一個運維人員只需要管理固定數(shù)量的服務器,畢竟公司分為不同的業(yè)務線,不同的運維人員管理的業(yè)務線也不同,但如果共享一套root密碼,其實就等于無限放大了每個運維人員的權限,也就是說,如果某個運維人員想干壞事的話,他可以在幾分鐘內把整個公司的業(yè)務停轉,甚至數(shù)據(jù)都給刪除掉。為了降低風險,于是有人想到,把不同業(yè)務線的root密碼改掉就ok了么,也就是每個業(yè)務線的運維人員只知道自己的密碼,這當然是最簡單有效的方式,但問題是如果你同時用了ldap,這樣做又比較麻煩,即使你設置了root不通過ldap認證,那新問題就是,每次有運維人員離職,他所在的業(yè)務線的密碼都需要重新改一次

    網(wǎng)友評論