堡垒机作为企业安全运维的核心工具,通过集中管理用户对服务器、数据库等资产的访问权限,实现“事前授权、事中监控、事后审计”的全流程管控。它支持SSH/RDP/VNC等多种协议,强制用户通过堡垒机跳转登录,避免直接暴露内网资源。堡垒机可记录所有操作命令、会话录像,满足等保2.0、GDPR等合规要求,有效防范内部人员误操作或数据泄露风险。
一、堡垒机搭建步骤
基础环境准备
硬件要求:需具备公网IP和内网IP。
系统选择:推荐CentOS 7+/Ubuntu 18.04+等稳定Linux发行版。
安全加固:
关闭多余端口,仅开放SSH(22)、RDP(3389)等必要端口。
配置防火墙规则,限制访问IP白名单。
禁用SSH密码登录,强制使用密钥认证。
软件安装与配置
简易堡垒机(跳板机):
使用jailkit限制用户权限,将用户限制在虚拟系统中,仅允许执行有限命令。
示例命令:
bash# 安装jailkitwget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2tar jxvf jailkit-2.19.tar.bz2cd jailkit-2.19./configure && make && make install# 创建虚拟用户并限制命令jk_jailuser -m -j /home/jail jailUsermkdir -p /home/jail/usr/sbincp /usr/sbin/jk_lsh /home/jail/usr/sbin/
开源堡垒机:
JumpServer:全球首款开源4A规范堡垒机,支持SSH/RDP/VNC协议,提供Web终端和文件传输功能。
安装方式:
bash# Docker快速部署docker pull jumpserver/jumpserver:latestdocker run -d --name jumpserver -p 2222:2222 -p 8080:8080 jumpserver/jumpserver:latest
Teleport:专为云原生环境设计,支持Kubernetes和动态访问策略,提供Web界面和MFA认证。
Guacamole:基于HTML5的远程桌面网关,无需客户端软件,支持RDP/VNC/SSH协议。
日志审计配置
在客户机上配置日志审计,记录所有操作命令。
示例:通过rsyslog将日志集中存储至ELK或Splunk进行分析。
二、堡垒机软件选择标准
软件核心优势适用场景
JumpServer开源免费、4A规范、支持多云环境、提供Web终端和文件传输中小型企业、多云环境管理
Teleport云原生支持、动态访问策略、Kubernetes集成、MFA认证分布式云环境、DevOps团队
Guacamole无客户端、跨平台、支持多种协议(RDP/VNC/SSH)远程办公、IT运维、教育实验室
行云管家免费版支持20资产/10用户、满足等保评测、提供IT资源统一纳管小微企业、合规需求场景
选择建议:
成本敏感型:优先选择JumpServer或行云管家。
云原生环境:Teleport的动态策略和Kubernetes集成更适配。
跨平台访问:Guacamole的无客户端特性适合多设备场景。
三、堡垒机用户权限设置
权限模型
基于角色的访问控制(RBAC):
定义角色,分配对应权限。
示例角色权限:
管理员:实例管理、用户/资产配置、策略设置。
审计员:查看日志、录像回放。
运维员:资产运维操作。
最小权限原则:仅授予用户完成任务所需的最小权限。
权限配置步骤
JumpServer示例:
登录Web界面,创建用户组。
分配系统权限。
添加资产并关联用户组,设置命令黑白名单。
阿里云CBH示例:
通过RAM控制台创建用户,添加策略。
在堡垒机中配置资产访问授权,关联用户与资产。
动态权限控制
时间窗口:仅允许在工作时段访问。
地理位置:限制特定IP或区域登录。
条件访问:结合MFA认证,增强安全性。
部署堡垒机需结合业务规模选择方案,中小企业可选开源工具,通过Docker快速部署,降低成本。大型企业推荐商用产品,支持高并发、多云环境管理。选型时需关注4A能力、协议兼容性及扩展性。
