您當前位置：首頁 > 服務(wù)器 > 麒麟開源堡壘機安裝部署測試及優(yōu)缺點總結(jié)

麒麟開源堡壘機安裝部署測試及優(yōu)缺點總結(jié)

來源：程序員人生發(fā)布時間：2016-09-03 15:39:39 閱讀次數(shù)：3484次

近期出于管理和檢查需要，單位領(lǐng)導(dǎo)要求上堡壘機系統(tǒng)，測試了幾個商業(yè)堡壘機，由于價格超過預(yù)算等緣由都未購買，又測試了3個開源的堡壘機，感覺麒麟開源堡壘機功能最全，基本上和商業(yè)堡壘機1樣，唯1的問題就是圖形部份不開源，但由于我們的服務(wù)器基本上全是LINUX環(huán)境，TELNET、SSH、FTP、SFTP已足夠了因此將這套堡壘機已用于生產(chǎn)環(huán)境。

現(xiàn)在市場商業(yè)堡壘機價格太高，基本上都要到10萬左右，我結(jié)合在公司部署開源堡壘機的經(jīng)驗，將進程寫成文檔與大家分享。

我測試的其它開源堡壘機基本上還是半成品，麒麟堡壘機基本上已是1個成品堡壘機，但是還是存在某些小BUG，可以自己修改源代碼改掉。

麒麟堡壘機安裝條件：

1. 系統(tǒng)必須最少有2塊網(wǎng)卡,1塊網(wǎng)卡安裝時會報錯，如果是虛機虛2塊網(wǎng)卡出來。

2. 系統(tǒng)最低硬件配置為：Intel 64位CPU、4G內(nèi)存、200G硬盤。（注意：32位CPU裝不上）。

安裝進程：

麒麟堡壘機安裝進程非常簡單，用光盤啟動，1回車，完全無人值守安裝，不需要任何的干涉（安裝進程贊1個，基本上可以給95分）。

進程圖以下：

插入光驅(qū)進行啟動，會到安裝界面，在”blj”那里直接回車（PS：如果使用筆記本進行虛機安裝，先選擇”Install Pcvm”，方式使用500M SWAP, 默許安裝方式使用32G SWAP,這幾個安裝方式主要就是SWAP大小不同，如果使用虛機方式安裝堡壘機，有可能出現(xiàn)SWAP不夠用問題）。

我的硬件物理機為8G內(nèi)存，普通的E3 單個CPU，2T 串口硬盤，安裝進程大約要等30分鐘左右，安裝終了，系統(tǒng)重啟，退出光盤便可。

系統(tǒng)配置：

1. 安裝過后，系統(tǒng)默許IP為: Eth0 192.168.1.100/24，可以直接使用筆記本配置1個同網(wǎng)段的IP，然后直接連到ETH0上，使用IE輸入 https://192.168.1.100登錄，默許口令為admin/12345678，登錄后到系統(tǒng)配置-網(wǎng)絡(luò)配置-網(wǎng)絡(luò)配置中，編輯eth0口，將IP地址、掩碼、網(wǎng)關(guān)修改成自己的，點保存修改，系統(tǒng)會將IP修改成本地IP。

2. 麒麟堡壘機使用的Centos 7.1系統(tǒng)（PS：太新了！），后臺登錄密碼也給了（這個太優(yōu)越于商用堡壘機了），技術(shù)大神可以直接到后臺修改IP便可，注意后臺 SSH端口為2288，用戶名密碼為 root/Baoleiji123

3. 系統(tǒng)配置好后，如果你要用圖形協(xié)議，需要找開發(fā)者申請圖形的Licenses，如果只用字符的，就能夠直接使用了，我這里全是LINUX，因此沒有進行Licenses申請，麒麟堡壘機上線我主要做了4步：

建立目錄結(jié)構(gòu)—導(dǎo)入堡壘機帳號（主帳號）—導(dǎo)入服務(wù)器帳號（從帳號）—主從帳號關(guān)聯(lián)授權(quán)，說真的，比商業(yè)堡壘機都要好用。

4. 建立目錄結(jié)構(gòu)：

目錄是類于裝備組和用戶組，麒麟堡壘機是LDAP結(jié)構(gòu)，組里可以放用戶也能夠放裝備，我覺得這點不方便，我是把用戶和裝備分別建組，在添加用戶、裝備時，1定要先加組，由于沒有組的話裝備和用戶加不上。

資源管理-資產(chǎn)管理-目錄管理，頁簽，單擊“增加新節(jié)點”；根據(jù)所要創(chuàng)建的組類型選擇“所屬目錄”與“屬性”。

5. 圖 1

PS：“節(jié)點名”輸入節(jié)點的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個父組，目錄樹可以無窮級目錄，堡壘機配置前必須先將目錄樹配置終了才能進行用戶和裝備的導(dǎo)入，用戶和裝備導(dǎo)入時，必須有配置好的目錄樹。

6. 導(dǎo)入堡壘機帳號（主帳號），菜單-資源管理-資產(chǎn)管理-用戶管理中，默許有4個帳號: Admin、Audit、Password、Test，如果帳號少，可以1個1個加，我這里運維人員有40多個，所以我用的導(dǎo)入方式，只要點1下導(dǎo)出就會下來1個CSV 模版，按模版填進去再導(dǎo)回去就好了。

導(dǎo)出后，CSV表只需要填：

用戶名:運維人員登錄堡壘機時的名稱，要求唯1（必須填寫）

密碼:運維人員登錄堡壘機時的密碼（必須填寫）

真實姓名：運維人員的真實姓名（必須填寫）

電子郵箱：運維人員的電子郵箱地址（選擇填寫）

用戶權(quán)限：統(tǒng)1配置為普通用戶（必須填寫）

組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)一樣名稱的資源組，則導(dǎo)入時需要用組名(id)方式： 比如出現(xiàn)重名的first組，如果你想在界面中這個組加入，則組名為first(221)

填好后，把第1行test那行刪除，然后點導(dǎo)入菜單，注意：1定要勾上加密！不然導(dǎo)進去用不了。

7. 服務(wù)器帳號（從帳號）導(dǎo)入，麒麟堡壘機在導(dǎo)入從帳號時會自動創(chuàng)建服務(wù)器，所以只需要在資源管理-資產(chǎn)管理-裝備列表中導(dǎo)出1個CSV文件，按文件進行填寫，然后導(dǎo)入便可以完成裝備、裝備帳號的錄入：

1般只需要A到H列，后面只要復(fù)制模版中的便可，各列說明以下:

主機名：主機的名稱

IP：主機的IP地址

服務(wù)器組：服務(wù)器所屬組的ID號，由于目錄中允許同名稱的組，因此，服務(wù)器組用ID號替換，可以在資產(chǎn)管理-資源管理-目錄節(jié)點中查看ID號，以下圖：

系統(tǒng)類型：主機的操作系統(tǒng)類型，必須在第1章中添加的或系統(tǒng)自帶的當選擇添加。

系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項不填。

當前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項可以不填。

登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在這些登錄方式當選擇相應(yīng)的

端口：登錄協(xié)議連接的目標端口

過期時間：這個系統(tǒng)帳號的過期時間，如果超過過期時間，則不在允許登錄

自動修改密碼：是不是對這個帳號進行自動修改密碼（默許為否）

主帳號：自動修改密碼時只使用1個帳號登錄修改主機上所有的用戶密碼，如果是主帳號，則填是，主帳號1般為root權(quán)限或可以sudo 為root

自動登錄：默許填是

堡壘機用戶：均填否

Sftp用戶：如果是SSH服務(wù)，則設(shè)置這個SSH用戶是不是可使用SFTP服務(wù)，是為允許，否為不允許

公私鑰用戶：如果是SSH服務(wù)，設(shè)置這個SSH用戶認證是否是使用公私鑰方式，是或否

填好后點導(dǎo)入按鈕導(dǎo)回，注意，也1定要勾上加密

9.系統(tǒng)授權(quán)，堡壘機帳號（主帳號）、主機系統(tǒng)帳號（從帳號）導(dǎo)入完成后，需要進行賦權(quán)操作，賦權(quán)后堡壘機帳號（主帳號）登錄到堡壘機才能跳轉(zhuǎn)到相應(yīng)的裝備。

賦權(quán)操作如果1個堡壘機帳號（主帳號）有大量從帳號的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜單完成的，如果為堡壘機帳號（主帳號）臨時添加1個從帳號的賦權(quán)，則也能夠在主機裝備帳號菜單中完成。

賦權(quán)操作最好按用戶組的方式進行賦，行將權(quán)限相同的用戶放在同1個用戶組中，然后為這個用戶組創(chuàng)建1個系統(tǒng)用戶組，將這些用戶具有權(quán)限的主機裝備帳號都加到這個組中，然后將這個系統(tǒng)用戶組綁定給這個用戶組，如果每一個用戶的權(quán)限都不1樣，也能夠為單獨的用戶劃分系統(tǒng)用戶組落后行授權(quán)。

單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”；填寫“系統(tǒng)用戶組”名，選中“未選裝備”中系統(tǒng)用戶添加到“已選裝備”，肯定已選中想要賦權(quán)的堡壘機用戶組的所有系統(tǒng)帳號后，點擊“保存”；