前言: 好幾天沒寫博客了哈,這篇博客主要介紹堡壘機(jī)的功能與作用。之前沒聽過堡壘機(jī)的可以看看,還較詳細(xì)地講了數(shù)據(jù)庫(kù)表結(jié)構(gòu)的設(shè)計(jì),寫完這篇博客,感覺數(shù)據(jù)庫(kù)真是博大精深……本來還想把這個(gè)項(xiàng)目做完的……but ...待更新吧……

 

一、前景介紹

到目前為止,很多公司對(duì)堡壘機(jī)依然不太感冒,其實(shí)是沒有充分認(rèn)識(shí)到堡壘機(jī)在IT管理中的重要作用的,很多人覺得,堡壘機(jī)就是跳板機(jī),其實(shí)這個(gè)認(rèn)識(shí)是不全面的,跳板功能只是堡壘機(jī)所具備的功能屬性中的其中一項(xiàng)而已,下面我就給大家介紹一下堡壘機(jī)的重要性,以幫助大家參考自己公司的業(yè)務(wù)是否需要部署堡壘機(jī)。
堡壘機(jī)有以下兩個(gè)至關(guān)重要的功能:

  • 權(quán)限管理

  • 審計(jì)功能

 

1. 權(quán)限管理

當(dāng)你公司的服務(wù)器變的越來越多后,需要操作這些服務(wù)器的人就肯定不只是一個(gè)運(yùn)維人員,同時(shí)也可能包括多個(gè)開發(fā)人員,那么這么多的人操作業(yè)務(wù)系統(tǒng),如果權(quán)限分配不當(dāng)就會(huì)存在很大的安全風(fēng)險(xiǎn),舉幾個(gè)場(chǎng)景例子:

  1. 設(shè)想你們公司有300臺(tái)Linux服務(wù)器,A開發(fā)人員需要登錄其中5臺(tái)WEB服務(wù)器查看日志或進(jìn)行問題追蹤等事務(wù),同時(shí)對(duì)另外10臺(tái)hadoop服務(wù)器有root權(quán)限,在有300臺(tái)服務(wù)器規(guī)模的網(wǎng)絡(luò)中,按常理來講你是已經(jīng)使用了ldap權(quán)限統(tǒng)一認(rèn)證的,你如何使這個(gè)開發(fā)人員只能以普通用戶的身份登錄5臺(tái)web服務(wù)器,并且同時(shí)允許他以管理員的身份登錄另外10臺(tái)hadoop服務(wù)器呢?并且同時(shí)他對(duì)其它剩下的200多臺(tái)服務(wù)器沒有訪問權(quán)限

  2. 目前據(jù)我了解,很多公司的運(yùn)維團(tuán)隊(duì)為了方便,整個(gè)運(yùn)維團(tuán)隊(duì)的運(yùn)維人員還是共享同一套root密碼,這樣內(nèi)部信任機(jī)制雖然使大家的工作方便了,但同時(shí)存在著極大的安全隱患,很多情況下,一個(gè)運(yùn)維人員只需要管理固定數(shù)量的服務(wù)器,畢竟公司分為不同的業(yè)務(wù)線,不同的運(yùn)維人員管理的業(yè)務(wù)線也不同,但如果共享一套root密碼,其實(shí)就等于無限放大了每個(gè)運(yùn)維人員的權(quán)限,也就是說,如果某個(gè)運(yùn)維人員想干壞事的話,他可以在幾分鐘內(nèi)把整個(gè)公司的業(yè)務(wù)停轉(zhuǎn),甚至數(shù)據(jù)都給刪除掉。為了降低風(fēng)險(xiǎn),于是有人想到,把不同業(yè)務(wù)線的root密碼改掉就ok了么,也就是每個(gè)業(yè)務(wù)線的運(yùn)維人員只知道自己的密碼,這當(dāng)然是最簡(jiǎn)單有效的方式,但問題是如果你同時(shí)用了ldap,這樣做又比較麻煩,即使你設(shè)置了root不通過ldap認(rèn)證,那新問題就是,每次有運(yùn)維人員離職,他所在的業(yè)務(wù)線的密碼都需要重新改一次。

    延伸閱讀

    學(xué)習(xí)是年輕人改變自己的最好方式-Java培訓(xùn),做最負(fù)責(zé)任的教育,學(xué)習(xí)改變命運(yùn),軟件學(xué)習(xí),再就業(yè),大學(xué)生如何就業(yè),幫大學(xué)生找到好工作,lphotoshop培訓(xùn),電腦培訓(xùn),電腦維修培訓(xùn),移動(dòng)軟件開發(fā)培訓(xùn),網(wǎng)站設(shè)計(jì)培訓(xùn),網(wǎng)站建設(shè)培訓(xùn)學(xué)習(xí)是年輕人改變自己的最好方式