项目背景
需求分析
# 解决需求:
1、记录用户操作
实现方式1:改ssh客户端的源代码,10w+
实现方式2:修改已有python ssh 库,加入指令记录的功能(推荐)
2、实现权限管理:
A 支付系统的机器(500)
10.0.1.11 root
10.0.1.12 mysql
B 10.0.1.12 root
3、日志记录:记入到数据库
4、密码&秘钥:2种方式实现服务器登陆
数据库设计
from django.db import models
from django.contrib.auth.models import User
# Create your models here.
class IDC(models.Model):
""" 机房信息 """
name = models.CharField(max_length=64, unique=True)
def __str__(self):
return self.name
class Host(models.Model):
"""存储所有主机信息"""
hostname = models.CharField(max_length=64, unique=True)
ip_addr = models.GenericIPAddressField(unique=True)
port = models.IntegerField(default=22)
idc = models.ForeignKey('IDC', on_delete='')
enabled = models.BooleanField(default=True)
def __str__(self):
return '%s-%s' % (self.hostname, self.ip_addr)
class HostGroup(models.Model):
"""主机组"""
name = models.CharField(max_length=64, unique=True)
host_user_binds = models.ManyToManyField('HostUserBind')
def __str__(self):
return self.name
class HostUser(models.Model):
"""存储远程主机的用户信息"""
auth_type_choices = ((0, 'ssh-password'), (1, 'ssh-key'))
auth_type = models.SmallIntegerField(choices=auth_type_choices)
username = models.CharField(max_length=32)
password = models.CharField(blank=True, null=True, max_length=128)
def __str__(self):
return '%s-%s-%s' % (self.get_auth_type_display(), self.username, self.password)
class Meta:
unique_together = ('username', 'password')
class HostUserBind(models.Model):
"""绑定主机和用户"""
host = models.ForeignKey('Host', on_delete='')
host_user = models.ForeignKey('HostUser', on_delete='')
def __str__(self):
return '%s-%s' % (self.host, self.host_user)
class Account(models.Model):
"""堡垒机账户"""
user = models.OneToOneField(User, on_delete='') # 用户Django框架提供的用户验证模块
name = models.CharField(max_length=64)
host_user_bind = models.ManyToManyField('HostUserBind', blank=True)
host_groups = models.ManyToManyField('HostGroup', blank=True)
class SessionLog(models.Model):
"""记录堡垒机用户登陆堡垒机信息的日志,同时用于生成记录用户指令文件的名称"""
account = models.ForeignKey('Account', on_delete='')
host_user_bind = models.ForeignKey('HostUserBind', on_delete='')
start_date = models.DateTimeField(auto_now_add=True)
end_date = models.DateTimeField(blank=True, null=True)
def __str__(self):
return '%s-%s' % (self.account, self.host_user_bind)
class AuditLog(models.Model):
"""记录堡垒机账户操作远程服务器指令的日志"""
session = models.ForeignKey('SessionLog', on_delete='')
cmd = models.TextField() # 记录操作指令
data = models.DateTimeField(auto_now_add=True) # 自动添加当前时间
def __str__(self):
return '%s-%s'
linux中用strace命令来实现监测用户指令
命令说明:
strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。
-c 统计每一系统调用的所执行的时间,次数和出错的次数等.
-d 输出strace关于标准错误的调试信息.
-f 跟踪由fork调用所产生的子进程.
-ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号.
-F-h 输出简要的帮助信息.
-i 输出系统调用的入口指针.
-q 禁止输出关于脱离的消息.
-r 打印出相对时间关于,,每一个系统调用.
-t 在输出中的每一行前加上时间信息.
-tt 在输出中的每一行前加上时间信息,微秒级.
-ttt 微秒级输出,以秒了表示时间.
-T-v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出.
-V-x 以十六进制形式输出非标准字符串
-xx 所有字符串以十六进制形式输出.
-a column 设置返回值的输出位置.默认 为40.
-e expr 指定一个表达式,用来控制如何跟踪.格式:[qualifier=][!]value1[,value2]...
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:-eopen等价于 -e trace=open,表示只跟踪open调用.而-etrace!=open 表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none. 注意有些shell使用!来执行历史记录里的命令,所以要使用\\.
-e trace=set 只跟踪指定的系统 调用.例如:-e-e trace=file 只跟踪有关文件操作的系统调用.
-e trace=process 只跟踪有关进程控制的系统调用.
-e trace=network 跟踪与网络有关的所有系统调用.
-e strace=signal 跟踪所有与系统信号有关的 系统调用
-e trace=ipc 跟踪所有与进程通讯有关的系统调用
-e abbrev=set 设定strace输出的系统调用的结果集.-v 等与 abbrev=none.默认为abbrev=all.
-e raw=set 将指定的系统调用的参数以十六进制显示.
-e signal=set 指定跟踪的系统信号.默认为all.如 signal=!SIGIO(或者signal=!io),表示不跟踪SIGIO信号.
-e read=set 输出从指定文件中读出 的数据.例如: -e read=3,5-e write=set 输出写入到指定文件中的数据.
-o filename 将strace的输出写入文件filename
-p pid 跟踪指定的进程pid.
-s strsize 指定输出的字符串的最大长度.默认为32.文件名一直全部输出.
-u username 以username的UID和GID执行被跟踪的命令
strace监控堡垒机用ssh连接其它服务器时输入的命令(在xsheel终端连接堡垒机后,监控堡垒机输入的指令):
将监控的命令结果输出到文件ssh_log:包含时间
通过Python subprocess连接远程主机(实时交互+免输入密码登陆)
openssh源码的linux版本下载
下载地址:http://www.openssh.com/portable.html
将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。
通过FTP软件将项目上传至堡垒机服务器上:
通过Python subprocess连接远程主机(实时交互+免输入密码登陆)
openssh源码的linux版本下载
下载地址:http://www.openssh.com/portable.html
将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。
通过FTP软件将项目上传至堡垒机服务器上。
上传sshpass-1.06.tar文件用于免密登陆的软件
- 先编译成二进制,再安装:
- 也可以通过apt一步安装到位:
- 查看apt-get install所安装的软件所在位置:dpkg -L 软件名
- 堡垒机无需再输入密码连接远程服务器:
代码实现堡垒机免密登陆远程服务器:
- audit_shell.py文件:
#_*_coding:utf-8_*_
import os
import sys
if __name__ == '__main__':
# 将django添加到环境变量中
os.environ.setdefault("DJANGO_SETTINGS_MODULE", "audit.settings")
import django
django.setup() # 手动注册django中所有的APP
from audit_init.backend import user_interactive
obj = user_interactive.UserShell(sys.argv) # 终端运行该脚本时传入的参数
- user_interactive.py文件:
from django.contrib.auth import authenticate
from audit_init import models
import subprocess
class UserShell():
"""用户登陆堡垒机后的shell"""
def __init__(self, sys_argv):
self.sys_argv = sys_argv
self.user = None # 用来保存验证过的用户对象
def auth(self):
"""用Django自带认证系统进行用户验证"""
count = 0
while count < 3: # 允许用户输入3次,
username = input('请输入堡垒机账户名:').strip()
password = input('请输入堡垒机密码:').strip()
# 进行用户认证,通过则获得user对象,
user = authenticate(username=username, password=password)
if not user:
count += 1
print('用户不存在!请重新输入')
else:
self.user = user
return True
else:
print('输入次数超过3次,请稍候再试')
def start(self):
"""启动交互程序"""
if self.auth(): # 如果登陆成功
while True:
host_groups = self.user.account.host_groups.all() # 通过user表反向查询出所有主机组
print(host_groups)
for index, group in enumerate(host_groups):
# group.host_user_binds.count() 计算一个组下有多少台主机
print('%s, \t%s[%s]'%(index, group, group.host_user_binds.count()))
print("%s.\t未分组机器[%s]" % (len(host_groups), self.user.account.host_user_binds.count()))
try:
choice = input('请选择组:').strip()
if choice.isdigit(): # 如果输入的是数字
choice = int(choice)
host_bind_list = None
if choice >= 0 and choice < len(host_groups):#
selected_group = host_groups[choice]
host_bind_list = selected_group.host_user_binds.all()
elif choice == len(host_groups):#选择的未分组机器
host_bind_list = self.user.account.host_user_binds.all()
if host_bind_list:
while True:
for index, host in enumerate(host_bind_list):
print('%s, \t%s'%(index, host))
choice2= input('请选择主机:').strip()
if choice2.isdigit():
choice2 = int(choice2) # 转换成int类型
if choice2 >= 0 and choice2 < len(host_bind_list):
selected_host = host_bind_list[choice2]
# StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证
cmd = 'sshpass -p %s ssh %s@%s -p %s -o StrictHostKeyChecking=no ' % (
selected_host.host_user.password, selected_host.host_user.username,
selected_host.host.ip_addr, selected_host.host.port)
subprocess.run(cmd, shell=True) # 启动shell程序窗口
elif choice2 == 'b':
break
except KeyboardInterrupt as e:
pass
- 该部分操作时引出的问题:
1、无法通过浏览器访问linux服务器上的djangoWeb项目:
解决方式:python manage.py runserver 0.0.0.0:8000 # 手动设置访问地址,同时清除浏览器中的修改化设置内容
通过修改SSH源码作唯一标识,完成主机识别
问题背景:
1台堡垒机同时远程连接多台服务器时,无法将两者的进程信息进行区分,导致获取不到对应的端口号。
解决方式:通过ssh连接时传入随机数作为唯一标识,进行进程号的获取,从而通过strace进行监控
- 修改ssh源码(文件ssh.c中修改):
- linux编译并安装openssh:
此处执行编译时可能报error: * zlib.h missing - please install first or check config.log *“这是由于缺少zlib-devel所致,只需安装zlib-devel即可,执行命令:yum install zlib-devel;
还有可能会包”OpenSSL headers missing - please install first or check config.log *“的错误,这是缺少openssl-devel所致,只需安装openssl-devel即可,执行命令:yum install openssl-devel
备注:当编译出错时,修改编译后,需要通过make clean清除原有的编译文件,保持环境干净.
- 该阶段可能出现的报错:
- 解决方式:校正时区
timedatectl set-timezone “Asia/Shanghai”
timedatectl set-timezone UTC #推荐使用和设置协调世界时,即UTC。
yum -y install ntp
systemctl status ntpd - 测试修改后的ssh源码是否能够通过sshpass连接服务器,并携带自定义的参数:
- 可看到当前进程携带了自定义的参数用来进行过滤筛选:
修改python代码,筛选过滤出进程号,用来监控该进程号:
# 略……
if choice2 >= 0 and choice2 < len(host_bind_list):
selected_host = host_bind_list[choice2]
# 生成随机字符串作为连接每台服务器后,监控进程的唯一标识
import string
import random
s = string.ascii_lowercase + string.digits # 获得所有小写字母+数字
random_tag = ''.join(random.sample(s, 10)) # 取样
# StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证
cmd = 'sshpass -p %s /usr/local/openssh7/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s' % (
selected_host.host_user.password, selected_host.host_user.username,
selected_host.host.ip_addr, selected_host.host.port, random_tag)
subprocess.run(cmd, shell=True) # 启动shell程序窗口
# 略……
- 运行脚本后,可获得堡垒机连接到不同服务器时对应的进程号:
编辑linux系统中的脚本文件.sh
- 前提准备:对当前用户的sudo权限进行修改,免除运行.sh脚本时需要输入sudo密码进行安全验证的动作
注意:一定要在root用户下进行修改,否则会造成sudo无法使用,使得系统崩溃。
编写执行脚本:
#!/bin/bash
for i in $(seq 1 30);do
echo $i $1 # $1表示传入脚本文件中的参数(随机字符串)
# ``表示可以执行的命令,echo时,如果不添加``,则直接以字符串形式输出内容
process_id = `ps -ef | grep $1 | grep -v sshpass | grep -v grep | grep -v 'session_tracker.sh' | awk '{print $2}'`
# 输出得到的$process_id变量值
echo "process: $process_id"
# 如果$process_id不为空时
if [ ! -z "$process_id" ];then
echo 'start run strace……'
# 监控用户输入的指令内容,将内容输出到指定位置($0表示输入的第一个参数)
strace -fp $process_id -t -o $(cd `dirname $0`; pwd)/nnnnnnnnn.log;
break;
fi
sleep 1
done;
运行脚本:
注:需先通过堡垒机的sshpass命令远程登陆一台服务器。
执行脚本命令:
会话监测日志
记录 堡垒机账户,登录主机的账户,登录的主机ip , 创建SessionLog 表,每次会话前创建一个sessionlog 记录, 把这个记录的ID传给session_tracker.sh ,因此 实现Session_tracker.sh 创建的会话日志 会以 sessionlog.id 命名 。
略……
s = string.ascii_lowercase +string.digits # 生成所有小写字符加数字
random_tag = ''.join(random.sample(s,10)) # 随机选择生成随机字符串
# 为session会话日志添加数据,获得session的Queryset对象
session_obj = models.SessionLog.objects.create(account=self.user.account,host_user_bind=selected_host)
# 格式化cmd命令,实现免密远程登陆
cmd = "sshpass -p %s /usr/local/openssh/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s" %(selected_host.host_user.password,selected_host.host_user.username,selected_host.host.ip_addr,selected_host.host.port ,random_tag)
#start strace ,and sleep 1 random_tag, session_obj.id
session_tracker_script = "/bin/sh %s %s %s " %(settings.SESSION_TRACKER_SCRIPT,random_tag,session_obj.id)
# 执行脚本,循环检测是否连接到远程服务,记录用户发送给远程服务器的指令
session_tracker_obj =subprocess.Popen(session_tracker_script, shell=True,stdout=subprocess.PIPE,stderr=subprocess.PIPE)
# 启动新的shell窗口,连接到远程服务器
ssh_channel = subprocess.run(cmd,shell=True)
print(session_tracker_obj.stdout.read(), session_tracker_obj.stderr.read())
略……
注意: python3 manage.py migrate –fake # 伪装执行完成数据库记录更改
解析命令日志文件:
略……
访问堡垒机服务器时自动启动的脚本文件:
通过修改脚本文件来设置启动内容项。
将项目移动至local目录下作为生产环境的位置:
可能的报错问题:
解决方式:
无需添加sudo命令来执行其它命令:
退出程序时应该一并退出堡垒机服务器:
代码级别的控制:
总结:
此方式不适用对用户操作的方式无法有效记录!!!
paramiko模块监控用户命令输入
paramiko模块命令监控演示:
1、从github上下载该模块
2、改写interactive.py 中的代码,添加一行print(‘->’, x)代码:
3、执行该demo.py模块文件:
拼接命令:
修改paramiko源码:
- ssh_interactive.py
import base64
from binascii import hexlify
import getpass
import os
import select
import socket
import sys
import time
import traceback
from paramiko.py3compat import input
import paramiko
try:
import interactive
except ImportError:
from . import interactive
def manual_auth(t, username,password):
t.auth_password(username, password)
def ssh_session(bind_host_user, user_obj):
# now connect
hostname = bind_host_user.host.ip_addr
port = bind_host_user.host.port
username = bind_host_user.host_user.username
password = bind_host_user.host_user.password
try:
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((hostname, port))
except Exception as e:
print("*** Connect failed: " + str(e))
traceback.print_exc()
sys.exit(1)
try:
t = paramiko.Transport(sock)
try:
t.start_client()
except paramiko.SSHException:
print("*** SSH negotiation failed.")
sys.exit(1)
try:
keys = paramiko.util.load_host_keys(
os.path.expanduser("~/.ssh/known_hosts")
)
except IOError:
try:
keys = paramiko.util.load_host_keys(
os.path.expanduser("~/ssh/known_hosts")
)
except IOError:
print("*** Unable to open host keys file")
keys = {}
# check server's host key -- this is important.
key = t.get_remote_server_key()
if hostname not in keys:
print("*** WARNING: Unknown host key!")
elif key.get_name() not in keys[hostname]:
print("*** WARNING: Unknown host key!")
elif keys[hostname][key.get_name()] != key:
print("*** WARNING: Host key has changed!!!")
sys.exit(1)
else:
print("*** Host key OK.")
if not t.is_authenticated():
manual_auth(t, username, password)
if not t.is_authenticated():
print("*** Authentication failed. :(")
t.close()
sys.exit(1)
chan = t.open_session()
chan.get_pty()
chan.invoke_shell()
print("*** Here we go!\n")
from audit_init import models
# 创建会话日志
session_obj = models.SessionLog.objects.create(account=user_obj.account,
host_user_bind=bind_host_user,
)
interactive.interactive_shell(chan, session_obj) # 启动shell终端
chan.close()
t.close()
except Exception as e:
print("*** Caught exception: " + str(e.__class__) + ": " + str(e))
traceback.print_exc()
try:
t.close()
except:
pass
sys.exit(1)
- interactive.py
import socket
import sys
from paramiko.py3compat import u
from audit_init import models
# windows does not have termios...
try:
import termios
import tty
has_termios = True
except ImportError:
has_termios = False
def interactive_shell(chan, session_obj):
if has_termios:
posix_shell(chan,session_obj)
else:
windows_shell(chan)
def posix_shell(chan, session_obj):
import select
oldtty = termios.tcgetattr(sys.stdin)
try:
tty.setraw(sys.stdin.fileno())
tty.setcbreak(sys.stdin.fileno())
chan.settimeout(0.0)
flag = False
cmd = ''
while True:
r, w, e = select.select([chan, sys.stdin], [], [])
if chan in r:
try:
x = u(chan.recv(1024))
if len(x) == 0: # 未输入指令状态/ctrl+c退出shell终端时
sys.stdout.write("\r\n*** EOF\r\n")
break
if flag:
cmd+=x
flag=False
sys.stdout.write(x)
sys.stdout.flush()
except socket.timeout:
pass
if sys.stdin in r:
x = sys.stdin.read(1)
if len(x) == 0:
break
if x == '\r':
models.AuditLog.objects.create(session=session_obj, cmd=cmd) # 将用户输入的命令写入数据表
cmd='' # 清空
elif x == '\t':
flag = True
else:
cmd += x
chan.send(x)
finally:
termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty)
# thanks to Mike Looijmans for this code
def windows_shell(chan):
import threading
sys.stdout.write(
"Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n"
)
def writeall(sock):
while True:
data = sock.recv(256)
if not data:
sys.stdout.write("\r\n*** EOF ***\r\n\r\n")
sys.stdout.flush()
break
sys.stdout.write(data)
sys.stdout.flush()
writer = threading.Thread(target=writeall, args=(chan,))
writer.start()
try:
while True:
d = sys.stdin.read(1)
if not d:
break
chan.send(d)
except EOFError:
# user hit ^Z or F6
pass
- user_interactive.py
略……
if choice2 >= 0 and choice2 < len(host_bind_list):
selected_host = host_bind_list[choice2]
# 生成随机字符串作为连接每台服务器后,监控进程的唯一标识
from audit_init.backend.ssh_interactive import
- 在admin组件中展示特定字段:
from django.contrib import
from audit_init import
# Register your models here.
class AuditLogAdmin(admin.ModelAdmin):
# 在admin后台展示的字段
list_display = ['session', 'cmd', 'date']
# 在admin后台搜索的条件字段
list_filter = ['date', 'session']
class SessionLogAdmin(admin.ModelAdmin):
list_display = ['id','account','host_user_bind','start_date','end_date']
list_filter = ['start_date','account']
admin.site.register(models.IDC)
admin.site.register(models.HostGroup)
admin.site.register(models.Host)
admin.site.register(models.HostUser)
admin.site.register(models.HostUserBind)
admin.site.register(models.Account)
admin.site.register(models.SessionLog, SessionLogAdmin)
admin.site.register(models.AuditLog, AuditLogAdmin)
将前端模版嵌入堡垒机
static路径问题:
settings配置文件:
# 静态资源位置加载,可兼容多个路径
STATIC_URL = '/static/' # 静态资源入口
STATICFILES_DIRS = (
os.path.join(BASE_DIR,'statics'), # 允许多个静态资源路径
母版改造:
- base.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title> audit | AI堡垒机</title>
<link href="http://fonts.googleapis.com/css?family=Open+Sans:300,400,600,700&subset=latin" rel="stylesheet">
<link href="/static/css/bootstrap.min.css" rel="stylesheet">
<link href="/static/css/nifty.min.css" rel="stylesheet">
<link href="/static/premium/icon-sets/icons/line-icons/premium-line-icons.min.css" rel="stylesheet">
<link href="/static/premium/icon-sets/icons/solid-icons/premium-solid-icons.min.css" rel="stylesheet">
<link href="/static/css/pace.min.css" rel="stylesheet">
<script src="/static/js/pace.min.js"></script>
<script src="/static/js/jquery.min.js"></script>
<script src="/static/js/bootstrap.min.js"></script>
<script src="/static/js/nifty.min.js"></script>
</head>
<body>
{% block body %}
{% endblock %}
</body>
</html>
- index.html
{% extends
{% block
略……
{% endblock%}登陆与退出
urls:
r'^$', views.index),
url(r'^login.html/$', views.acc_login),
url(r'^login_out.html/$', views.acc_login_out),
views:
def index(request):
return render(request, 'index.html',)
def acc_login(request):
"""
登录
:param request:
:return:
"""
if request.method == 'POST':
# 登陆成功
print('11')
username = request.POST.get('username')
password = request.POST.get('password')
# 使用django自带的用户认证
user = authenticate(username=username, password=password)
if user:
# 将用户封装到request中的session中响应给浏览器
login(request, user)
return redirect('/')
# 登陆失败
return render(request, 'login.html',)
def acc_login_out(request):
"""
退出登陆
:param request:
:return:
"""
logout(request)
return redirect('/login.html/')
login.html
{% extends
{% block<div id="container" class="cls-container">
<!-- LOGIN FORM -->
<!--===================================================-->
<div class="cls-content">
<div class="cls-content-sm panel">
<div class="panel-body">
<div class="mar-ver pad-btm">
<h1 class="h3">用户登陆</h1>
</div>
<form action="/login.html/" method="POST"
<div class="form-group">
<input type="text" class="form-control" placeholder="Username" autofocus name="username">
</div>
<div class="form-group">
<input type="password" class="form-control" placeholder="Password" name="password">
</div>
<div class="checkbox pad-btm text-left">
<input id="demo-form-checkbox" class="magic-checkbox" type="checkbox">
<label for="demo-form-checkbox">Remember me</label>
</div>
<button class="btn btn-primary btn-lg btn-block" type="submit">登陆</button>
</form>
</div>
<div class="pad-all">
<a href="#" class="btn-link mar-rgt">忘记密码 ?</a>
</div>
</div>
</div>
</div>{% endblockindex.html:
从request中获得session中的用户名#}
<div class="username hidden-xs">{{ request.user</div>
<div class="pad-all text-right">
<a href="/login_out.html/" class="btn btn-primary">
<i class="pli-unlock icon-fw"></i>退出
</a>
控制导航栏高亮显示
url:
r'^host_list/$', views.host_list, name='host_list'),
views:
def host_list(request):
return render(request, 'host_list.html',)
index.html:
省略页面改造步骤
略……
<script>function (){#第一种显示高亮的函数#}/*$("#mainnav-menu a").click(function () {
$(this).parent().addClass('active-link')
});*/{##第一种显示高亮的函数:通过属性选择器获得前当URL对应的a标签,从而控制a标签的高亮#}"#mainnav-menu a[href='{{ request.path }}']").parent().addClass('active-link');
});
</script>
Django自带用户认证
使用认证装饰器@login_required
# views:
from django.contrib.auth.decorators import login_required
# 登陆认证过滤装饰器
@login_required
def index(request):
return render(request, 'index.html',)
def acc_login(request):
"""
登录
:param request:
:return:
"""
if request.method == 'POST':
# 登陆成功
print('11')
username = request.POST.get('username')
password = request.POST.get('password')
# 使用django自带的用户认证
user = authenticate(username=username, password=password)
if user:
# 将用户封装到request中的session中响应给浏览器
login(request, user)
# 从url中获取next中的地址,可以重新载入登陆前的url地址
return redirect(request.GET.get('next') or '/')
# 登陆失败
return render(request, 'login.html',)
settings配置文件:
LOGIN_URL = '/login/' # 用户认证装饰器默认跳转的页面url为 /login/
主机列表开发
html改造:
{% extends
{% block
主机列表
{% endblock
{% block
主机列表
{% endblock
{% block<div class="panel col-lg-3">
<div class="panel-heading">
<h3 class="panel-title">
<trans oldtip="Panel with header" newtip="带标头的面板" style="">主机组</trans>
</h3>
</div>
<div class="panel-body">
<p>
<div class="panel-body">
<!--List Group with Badges-->
<!--===================================================-->
<ul class="list-group">{% for group in<li class="list-group-item" onclick="GetHostlist({{ group.id }}, this)"><span
class="badge badge-primary">{{ group.host_user_binds.count }}</span>{{ group.name }}</li>{% endfor<li class="list-group-item" onclick="GetHostlist(-1, this)"><span
class="badge badge-primary">{{ request.user.account.host_user_binds.count }}</span>未分组主机
</li>
</ul>
</div>
</p>
</div>
</div>
<div class="panel col-lg-9">
<div class="panel-heading">
<h3 class="panel-title">
<trans oldtip="Panel with header" newtip="带标头的面板" style="">主机列表</trans>
</h3>
</div>
<!-- Striped Table -->
<!--===================================================-->
<div class="panel-body">
<div class="table-responsive">
<table class="table table-striped">
<thead>
<tr>
<th>Hostname</th>
<th>IP</th>
<th>IDC</th>
<th>Port</th>
<th>Username</th>
<th>Login</th>
<th>Token</th>
</tr>
</thead>
<tbody id="hostlist">
</tbody>
</table>
</div>
</div>
<!--===================================================-->
<!-- End Striped Table -->
</div>{% endblockjs部分:
<script>function GetHostlist(gid, self)
$.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback)
var data = JSON.parse(callback);
console.log(data)
var trs = ''
$.each(data, function (index, i)
var tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name
+ "</td><td>" + i.host__port + "</td><td>" + i.host_user__username + "</td><td>"
trs += tr
$("#hostlist").html(trs);
})
});
$(self).addClass("active").siblings().removeClass('active');
}
</script>
urls:
r'^api/hostlist/$', views.get_host_list, name='get_host_list'),
views:
@login_required
def get_host_list(request):
gid = request.GET.get('gid')
if gid:
if gid == '-1': # 未分组
host_list = request.user.account.host_user_binds.all()
else:
group_obj = request.user.account.host_groups.get(id = gid)
host_list = group_obj.host_user_binds.all()
import json
data = json.dumps(list(host_list.values('id', 'host__hostname', 'host__ip_addr', 'host__port',
'host_user__username')))
print(data)
return
shellinabox使用
Shellinabox 是一个利用 Ajax 技术构建的基于 Web 的远程Terminal 模拟器,也就是说安装了该软件之后,不需要开启 ssh服务,通过 Web 网页就可以对远程主机进行维护操作了,出于安全考虑, Shellinabox 默认强制使用了https协议,这是个挺有趣的技术,因而就在rhel6上面折腾了下,下面记录了主要的操作步骤:
安装
下载地址:https://github.com/shellinabox/shellinabox
安装准备:(提前装好C环境)yum -y install gcc
netstate 工具安装: yum -y install net-tools
一:编译安装Shellinabox
[root@rhel6 ~]# cd /usr/local/src/tarbag/
[root@rhel6 tarbag]# wgethttp://shellinabox.googlecode.com/files/shellinabox-2.10.tar.gz
[root@rhel6 tarbag]# tar -zxvf shellinabox-2.10.tar.gz -C ../software/
[root@rhel6 tarbag]# cd ../software/shellinabox-2.10/
[root@rhel6 shellinabox-2.10]# ./configure --prefix=/usr/local/shellinabox
[root@rhel6 shellinabox-2.10]# make && make install
二:试启动Shellinabox,可以加上--help参数查看启动选项,这里可以看到默认Shellinabox采用https方式启动
[root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd
Cannot read valid certificate from "certificate.pem". Check file permissions and file format.
[root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd -b -t //-b选项代表在后台启动,-t选项表示不使用https方式启动,默认以nobody用户身份,监听TCP4200端口
[root@rhel6 ~]# netstat -ntpl |grep shell # 查看端口号
tcp 0 0 0.0.0.0:4200 0.0.0.0:* LISTEN 16823/shellinaboxd
使用:
1、关闭防火墙:
systemctl stop firewalled.service
systemctl disable firewalled.service
2、浏览器访问:ip+端口号
后台生成token在前端页面
html
<script>function GetToken(self, bind_host_id) # 生成token的函数
$.post("{% url 'get_token' %}", {'bind_host_id':bind_host_id, 'csrfmiddlewaretoken':'{{csrf_token}}'}, # 通过ajax使用反向url生成的形式发送post请求
function (callback)
console.log(callback)
var data = JSON.parse(callback)
$(self).parent().next().text(data.token)
})
}
function GetHostlist(gid, self)
$.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback) # 通过ajax使用反向url生成的形式发送get请求
var data = JSON.parse(callback);
console.log(data)
var trs = ''
var tr= ''
$.each(data, function (index, i)
tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name
+ "</td><td>" + i.host__port + "</td><td>" + i.host_user__username +"</td><td><a class='btn btn-info' onclick=GetToken(this,'"+i.id+"')>Token</a>Login</td><td><td></tr>" # 调用GetToken函数来生成token
trs += tr
})
$("#hostlist").html(trs);
});
$(self).addClass("active").siblings().removeClass('active');
}
</script>
url:
r'^api/token/$', views.get_token, name='get_token'),
views:
@login_required
def get_token(request):
"""生成token并返回"""
from django.utils import timezone
bind_host_id = request.POST.get('bind_host_id')
# 这里需要使用timezone.now来获取本地当前时间,而非datatime().datatime(),因为关系到需要自适应时区的问题,否则报错
time_obj = timezone.now() - datetime.timedelta(seconds=300) # 获得5分钟前的时间
exist_token_objs = models.Token.objects.filter(account_id=request.user.account.id,
host_user_bind_id=bind_host_id,
date__gt=time_obj )
if exist_token_objs: # has token already
token_data ={'token':exist_token_objs[0].val}
else:
token_val = ''.join(random.sample(string.ascii_lowercase+string.digits,8))
token_obj = models.Token.objects.create(
host_user_bind_id = bind_host_id,
account = request.user.account,
val = token_val
)
token_data = {'token':token_val}
return
model
class Token(models.Model):
host_user_bind = models.ForeignKey("HostUserBind", on_delete='')
val = models.CharField(max_length=128,unique=True)
account = models.ForeignKey("Account", on_delete='')
expire = models.IntegerField("超时时间(s)",default=300)
date = models.DateTimeField(auto_now_add=True)
def __str__(self):
return "%s-%s"
批量命令页面开发(全选功能+数量统计)
html
{% extends
{% block
主机列表
{% endblock
{% block
主机列表
{% endblock
{% block
{% csrf_token<div id="page-content">
<div class="panel col-lg-3">
<div class="panel-heading">
<h3 class="panel-title">
<trans oldtip="Panel with header" newtip="带标头的面板" style="">
主机组 <label id="selected_hosts"></label>
</trans>
</h3>
</div>
<div class="panel-body">
<p>
<div class="panel-body">
<ul class="list-group " id="host_groups">{% for group in<li class="list-group-item ">
<span class="badge badge-primary">{{ group.host_user_binds.count }}</span>
<input type="checkbox" onclick="checkAll(this)">
# 循环主机名
<a onclick="DisplayHostList(this)">{{ group.name }}</a>
<ul class="hide">{% for bind_host in<input type="checkbox" value="{{ bind_host.id }}"
onclick="showCheckHostCount()">
<li>{{ bind_host.host.ip_addr }}</li>{% endfor</ul>
</li>{% endfor<li class="list-group-item" onclick="DisplayHostList(this)">
<input type="checkbox" onclick="checkAll(this)">
<span class="badge badge-primary">{{ request.user.account.host_user_binds.count }}</span>未分组主机
<ul class="hide">{% for bind_host in<li>{{ bind_host.host.ip_addr }}</li>{% endfor</ul>
</li>
</ul>
</div>
</p>
</div>
</div>
<div class="panel col-lg-9">
<div class="panel-heading">
<h3 class="panel-title">
<trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans>
</h3>
</div>
<div class="panel-body">
ddd
</div>
</div>
<div class="panel col-lg-9">
<div class="panel-heading">
<h3 class="panel-title">
<trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans>
</h3>
</div>
<div class="panel-body">
ddd
</div>
</div>
</div>
<script>function DisplayHostList(self)
$(self).next().toggleClass('hide')
}
function checkAll(self){#全选功能 复选框#}'ul :checkbox').prop('checked', $(self).prop('checked'))
showCheckHostCount()
}
{#统计选中的数量#}function showCheckHostCount()
var selected_host_count = $('#host_groups ul').find(':checked').length;
$('#selected_hosts').text(selected_host_count);
return</script>{% endblock
