概述

因公司生产环境和测试环境都是可以在本地直连，缺乏审计管控，所以领导最近要求是搭建一个堡垒机平台，第一阶段是打算先用开源的堡垒机，所以下面主要介绍下开源的堡垒机。

01

Jumpserver

GitHub: https://github.com/jumpserver/jumpserver

Jumpserver 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。

Jumpserver 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。

Jumpserver 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。

Jumpserver 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。

02

Teleport

GitHub: https://github.com/eomsoft/teleport

Teleport是触维软件推出的一款简单易用的堡垒机系统，具有小巧、易用、易于集成的特点，支持RDP和SSH协议的跳转。

Teleport由两大部分构成：

• 跳板核心服务
• WEB操作界面

Teleport非常小巧且极易安装部署：仅需一分钟，就可以安装部署一套您自己的堡垒机系统！！

因为Teleport内建了所需的脚本引擎、WEB服务等模块，因此不需要额外安装其他的库或者模块，整个系统的安装与部署非常方便。

具有以下特点：

• 极易部署
• 简洁设计，小巧灵活，无额外依赖，确保您可以在5分钟内完成安装部署，开始使用。
• 安全增强
• 配置远程主机为仅被您的teleport服务器连接，可有效降低嗅探、扫描、暴力破解等攻击风险。
• 单点登录
• 只需登录您的teleport服务器，即可一键连接您的任意远程主机，无需记忆每台远程主机的密码了。
• 按需授权
• 可以随时授权指定运维人员访问指定的远程主机，也可随时回收授权。仅仅需要几次点击！
• 运维审计
• 对远程主机的操作均有详细记录，支持操作记录录像、回放，审计工作无负担。

03

GateOne

GitHub: https://github.com/liftoff/GateOne

GateOne是一款基于HTML5的开源终端模拟器/SSH客户端，同时内置强大的插件功能。它自带的插件使其成为一款令人惊艳的SSH客户端，但是，它可以用于运行任何终端应用。用户可以将GateOne嵌入其他应用程序从而提供各类终端访问界面，它也支持各类基于Web的管理界面

04

CrazyEye

CrazyEye是基于Python开发的一款简单易用的IT审计堡垒机,通过对原生ssh代码进行了部分修改，从而实现用户在登录堡垒机后，他所有的命令操作都将被实时抓取并写入审计日志，以供后期审计，目前CrazyEye主要实现了以下功能：

1. 用户行为审计
2. 底层使用原生ssh,不牺牲ssh使用体验,对用户操作无任何影响
3. 支持对主机进行分组管理
4. 可为运维人员分配指定服务器、指定账号的操作权限，即一个用户可以登录多少生产服务器，以及登录后有什么权限，都可以自如的控制
5. 用户登录堡垒后的所有操作均可被记录下来以供日后审计.
6. 主机批量操作

开源的还是比较推荐jumpserver，不过像数据库一些常用工具都没集成上来，而且上传下载功能有点不友好，还是得二次开发。后面会分享关于jumpserver具体搭建过程，感兴趣的朋友可以关注下！