由于公司没有某企业巨大,所以一些运营工作是依靠某企业运营的。大家都懂得,世风日下的当今社会,网民的热心程度,绝大于路人旁观的心态。因此,想要表彰某企业合作人士给小型公司带来的繁文缛节。

 题目为跳板机的奇葩桥段,若不奇葩,也就没有下文了,姑且植入主题。

对话一: 

 A:: 为什么最近ftp同步老是要等很久呢

 2016/2/3 15:53:05
 能帮我优化下不

 2016/2/3 15:53:30
  资源传完 等半天才更新 但是未必同步会成功
 B: 2016/2/3 16:05:58

 我们待会一起看看吧,现在有点紧急事情处理
 2016/2/3 16:29:56

         经QQ音乐显示--人家在切歌听,并没有忙。

 

就这样维持了将近三个月,事情并没有完全解决,直到来了新人让接手工作的时候。

对话二:

 wKiom1ctTw_B7bWVAADkYIIJz0A762.png

 呵呵,就这样子时间又慢慢拉长。

对话三: 

A: 我先说下我们的规范,我总感觉很乱沟通的。。。。

1、你们所有版本文件,包括CDN文件,都只能通过FTP客户端上传至我们提供的FTP服务器,这里是所有的源头
2、测试环境,正式环境,CDN所有需要同步的文件都来自于FTP服务器上对应的目录
2016/5/6 19:40:41
A 2016/5/6 19:40:41

这个规范现在是这样遵循的吧?

回来说问题,我们现在有两个脚本
1个脚本是给你们去手工触发同步FTP的文件到测试环境服务器
1个脚本是自动同步FTP上的CDN目录到现网环境,一般是5分钟内会同步到对应的CDN目录,你们就能测试
......

(这样子 哥们儿才弄明白真实的环境。)

对话四:

 A:  要想彻底解决  还是将ftp恢复到以前的样子 一切就合适了
2016/5/6 19:31:05
 2016/5/6 19:31:05

 老是这么样子 也不是个事儿 效率太低了
famou 2016/5/6 19:33:01

B:不可能的,之前的机器都下线了。。
2016/5/6 19:33:38
 2016/5/6 19:33:38

A: 2016/5/6 19:34:07

  现在就是直接用rz -be直接上传都不可以 还是root权限( 跳板机)
 2016/5/6 19:35:20

  而且用哪个脚本不能单独去同步ftp本地客户端 单个文件 到ftp服务端

  

以上事故总结:1.平时除了工作沟通欠缺。 2.合作伙伴能推就推的心态。(甚至可以将跳板机root的权限,给于合作伙伴,缺少对业务的熟悉程度。)3.服务器出问题,不会及时告诉你 ,你主动找还不搭理,加上A方下班晚,B方下班早,每次都是在B方下班的时候同步东西,很扯。

 等A方拿到root权限后,发现此机器是2007年就开了,已经属于老机器,还是某鲸的代理端。上面跑了很多业务。于是抓取了一些主要的信息。呵呵。

 


 最后无聊就去知乎搜索了下跳板机的众说纷纭。(看客可以随意看看,比较乱。)

 

运维人员如何搭建堡垒机(跳板机)?

现在一定规模互联网企业,往往都拥有大量服务器,如何安全并高效的管理这些服务器是每个系统运维或安全运维人员必要工作。现在比较常见的方案是搭建堡垒机环境作为线上服务器的入口,所有服务器只能通过堡垒机进行登陆访问,合格的堡垒机个人以为要满足以下功能需求 1 线上机器要实现免密登陆 2 密码对所有普通用户不可见 3 不同用户拥有不同机器登陆权限 4 不同用户可登陆机器的操作权限可控制 5 操作记录可审计 。假设服务器全是linux系统,日常管理通过ssh,不知道有没有比较好的开源方案或者技术思路来实现以上需求?像bat这些大企业中服务器都是数万级别的,他们又是怎么进行管理的?

 




不要使用什么堡垒机,那个完全是个伪安全的玩意儿。堡垒机本身就是个SPOF。

不要觉得BAT就一定做的很好,他们只是too big to fail而已

正确的方法是

零绝不允许用密码登陆,必须用公钥登陆
一要建立个人帐号的概念,必须做到一人一个帐号,绝不允许多个人共用一个个人帐号
二是公共帐号(用来部署服务)要和个人帐号分开,公共帐号绝不允许直接登陆
三打开SSH Agent Forwarding的功能,这样无论怎么跳都是没问题的。
四配置sudo规则使得个人帐号的用户能进入他有权限的公共帐号用户
五把SELinux规则配置起来,不允许的操作直接干掉,允许但是有危险的操作全记录下来
六把SSH登陆日志,sudo的日志,SELinux的warning什么的通通都发给实时事件流处理平台去,该咋分析就咋分析
七有些不需要完全公共帐号权限的操作,建议以unix domain socket的形式提供给个人帐号用户使用(因为有black magic可以检查权限)。

等这些都建立起来了,再来考虑什么安全加固。

同时,要赶紧把内部的PaaS搭起来,从源头上就把需要直接登陆机器的需求给减下来。



跳板机是对落后生产力妥协的产物。一方面,需要安全,从服务器权限这个角度来说,越少的人可以登录乃至于不远程登录是最好的,但是另一方面,绝大多数情况下我们也比需要登录到服务器上,好一点只是在排查故障时需要登录,差一点的可能发布、统计、故障等情况下都要登录服务器,甚至不只是SA/运维需要登录,连开发、QA们都需要。

仅从给运维同学开放权限的角度说一下,结合在新浪、网易以及「道听途说」阿里的方案:
1. 第一条原则是,从本机到服务器上每一道防线的安全等级应该是等同的。即不要出现登录跳板机费死了力气,到了服务器上就是root这样类似的情况。
2. 比需要有操作日志,目前这个最多是用来时候反查,这个可以是记录每一条操作,或者记录登录到跳板机后所有的输出。
3. 跳板机自身的安全隔离,比如只能从内网连接。
4. 身份验证,可以使用个人token+动态密码+keypair的方式,目前也没有见到更好的方案。
5. 用户授权,如果没有职位细分,运维应该是默认有所有机器登录权限的;如果职位细分,SA应该有所有权限,其他的运维同学应该有对应业务的权限——这个要结合公司内部的CMDB来做——这样也可以方便的临时给一些开发同学分配权限。
6. 还有一点是关于在「跳板机」上的权限,新浪是在跳板机上只能输入要登录机器的IP(这个跳板机程序要写好,别留下安全问题)。其他的似乎跳板机都是给了一个完整可用的shell。这个我觉得是需要按照公司/团队的情况选择的,比较好的方案是理出一个常用的命令,在跳板机上只给这些命令的权限。
7. 如果有要更安全一些,做好网络隔离。生产环境和测试环境隔离,甚至不同业务之间跳板机也是隔离的。
8. 跳板机要需要高可用,我见过所有服务器的sshd端口只给跳板机开放了白名单,然后跳板机挂了的情况。
9. 其实如果业务只限于一个web server这种,完全可以上Pass啦。担心数据安全的,做一个内部的Pass平台也可以解决大部分运维问题。比如常常碰到的在nginx里新配置一个域名的问题,完全可以不需要运维操心的。
10. Pass也有不能解决的问题,用Iass/物理机是个解决办法,但是如果可以将Pass和Iass结合起来跑,各取所需,才是真正好的方案。这一块,比较看好docker和现有的Pass平台结合在一起能装出什么样的火花。







优点就是非常简单,费用低廉。




对,不会显示你的

1.小企业,openldap
2.中型企业,Citrix-XenApp服务
3.大型企业,Citrix-XenApp服务+专职团队开发帐号和权限管理系统(腾讯中相当于一个小公司在做这一块)




楼主说的这些功能,早已有完美实现方案,既要让大家爽,又要有足够的安全,一个免密可信认证入口机器,从入口机器每个人独立帐号同样可信认证登录自己有权限的机器

如果还要进一步安全? 那就让员工定期去“土地庙”更替自己本地私钥对吧,我们知道没有绝对的安全,而当前的设计理念,我们认为每个人要自己对自己负责,无论是自己有意还是无意或者大意疏忽泄露了自己的本地私钥,那么这个问题就是员工自己负责,这最坏的情况,也就是非法用户可以登录到这个用户所有有权限的机器,不过只是普通帐号而已,影响也是可控的,如果加上一定的监控,安全问题不是问题

什么***,二次验证的机制,我们认为都是做无用工,而且影响作业效率,不完美不简洁,一概不要

适用于各大互联网公司,安全问题嘛? 我们给予每小时更替一次全线生产机器秘钥对
下图是我们审计截获的同事登录入口跳板机看到的实时数据流:
图中左边为权限过期日期,中间为快捷登录方式,而展示的机器是该用户目前所拥有登录权限的机器,当然都是公钥认证免密登录且只能可信认证登录

wKioL1ctWs6yM9ZfAAHdy1O8oDc823.png

可以看看这上面的跳板机方案,还是比较适合大量服务器的场景。


在【话题】里面找【跳板机】就可以看到了。

很多答主给了一些高大上的策略,我给个接地气的吧,适合小规模的对安全性还没有那么高要求的简单易实现的。详细过程请参考:

Kerberos加openldap加ssh实现单点登录,sudo做权限控制,nslcd上加filter只允许指定用户组的人认证,rsyslog做操作记录并解析入库和一定程度上的审计。


用f5的那个隧道设备,忘了是什么了 ,必须在网页上授权成功才能链接服务器。
之前海外机房人家这么干的,将来只要把你账户一停,你就啥也干不了了。



 最后:说难听一点儿,某些企业就是既要当XX,又想要立牌坊。呵呵,最讨厌的就是技术高,还装逼的开发,所以,我特佩服那些在业界呆了很久却很平和的人,拿出你的真心,熟悉你的业务,并为后人铺路吧,若你带着你的知识最后埋进棺材,与祖国山河同在,我觉得这逼装的很深沉。

  ----呵呵,瘦死的科比比你大,饿死的明星,比你风光,请关注自己,关注那些你身边本该和你发生关系的圈内人士,互联网人是热情的,这种热情,更应该体现在知识开源的传播上,而不是体现在老板给你的几万块钱一月的纸上,当你牛逼的时候,请记住当初那个菜逼的自己,也被别人略带过,呵呵,绝不是愤世嫉俗,抒发而已,欢迎拍砖。大企业没什么了不起,小公司又咋的?


 任何为止奋斗的借口,都是希望生活过的很好,且行且珍惜,且谦逊,且莫损人不利己。