麒麟开源堡垒机安装部署测试及优缺点总结

近期出于管理和检查需要，单位领导要求上堡垒机系统，测试了几个商业堡垒机，由于价格超过预算等缘由都未购买，又测试了3个开源的堡垒机，感觉麒麟开源堡垒机功能最全，基本上和商业堡垒机1样，唯1的问题就是图形部份不开源，但由于我们的服务器基本上全是LINUX环境，TELNET、SSH、FTP、SFTP已足够了因此将这套堡垒机已用于生产环境。

现在市场商业堡垒机价格太高，基本上都要到10万左右，我结合在公司部署开源堡垒机的经验，将进程写成文档与大家分享。

我测试的其它开源堡垒机基本上还是半成品，麒麟堡垒机基本上已是1个成品堡垒机，但是还是存在某些小BUG，可以自己修改源代码改掉。

麒麟堡垒机安装条件：

1. 系统必须最少有2块网卡,1块网卡安装时会报错，如果是虚机虚2块网卡出来。

2. 系统最低硬件配置为：Intel 64位CPU、4G内存、200G硬盘。（注意：32位CPU装不上）。

安装进程：

麒麟堡垒机安装进程非常简单，用光盘启动，1回车，完全无人值守安装，不需要任何的干涉（安装进程赞1个，基本上可以给95分）。

进程图以下：

插入光驱进行启动，会到安装界面，在”blj”那里直接回车（PS：如果使用笔记本进行虚机安装，先选择”Install Pcvm”，方式使用500M SWAP, 默许安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同，如果使用虚机方式安装堡垒机，有可能出现SWAP不够用问题）。

我的硬件物理机为8G内存，普通的E3 单个CPU，2T 串口硬盘，安装进程大约要等30分钟左右，安装终了，系统重启，退出光盘便可。

系统配置：

1. 安装过后，系统默许IP为: Eth0  192.168.1.100/24，可以直接使用笔记本配置1个同网段的IP，然后直接连到ETH0上，使用IE输入 https://192.168.1.100登录，默许口令为admin/12345678，登录后到系统配置-网络配置-网络配置中，编辑eth0口，将IP地址、掩码、网关修改成自己的，点保存修改，系统会将IP修改成本地IP。

2. 麒麟堡垒机使用的Centos 7.1系统（PS：太新了！），后台登录密码也给了（这个太优越于商用堡垒机了），技术大神可以直接到后台修改IP便可，注意后台 SSH端口为2288，用户名密码为 root/Baoleiji123

3. 系统配置好后，如果你要用图形协议，需要找开发者申请图形的Licenses，如果只用字符的，就能够直接使用了，我这里全是LINUX，因此没有进行Licenses申请，麒麟堡垒机上线我主要做了4步：

建立目录结构—导入堡垒机帐号（主帐号）—导入服务器帐号（从帐号）—主从帐号关联授权，说真的，比商业堡垒机都要好用。

4. 建立目录结构：

目录是类于装备组和用户组，麒麟堡垒机是LDAP结构，组里可以放用户也能够放装备，我觉得这点不方便，我是把用户和装备分别建组，在添加用户、装备时，1定要先加组，由于没有组的话装备和用户加不上。

资源管理-资产管理-目录管理，页签，单击“增加新节点”；根据所要创建的组类型选择“所属目录”与“属性”。

5. 图 1

PS：“节点名”输入节点的名称，“所属目录”新创建目录所属那个父组，目录树可以无穷级目录，堡垒机配置前必须先将目录树配置终了才能进行用户和装备的导入，用户和装备导入时，必须有配置好的目录树。

6. 导入堡垒机帐号（主帐号），菜单-资源管理-资产管理-用户管理中，默许有4个帐号: Admin、Audit、Password、Test，如果帐号少，可以1个1个加，我这里运维人员有40多个，所以我用的导入方式，只要点1下导出就会下来1个CSV 模版，按模版填进去再导回去就好了。

导出后，CSV表只需要填：

用户名:运维人员登录堡垒机时的名称，要求唯1（必须填写）

密码:运维人员登录堡垒机时的密码  （必须填写）

真实姓名：运维人员的真实姓名 （必须填写）

电子邮箱：运维人员的电子邮箱地址（选择填写）

用户权限：统1配置为 普通用户     （必须填写）

组名：目录结构中的资源组名称，如果出现一样名称的资源组，则导入时需要用组名(id)方式： 比如出现重名的first组，如果你想在界面中这个组加入，则组名为first(221)

填好后，把第1行test那行删除，然后点导入菜单，注意：1定要勾上加密！不然导进去用不了。

7. 服务器帐号（从帐号）导入，麒麟堡垒机在导入从帐号时会自动创建服务器，所以只需要在资源管理-资产管理-装备列表中导出1个CSV文件，按文件进行填写，然后导入便可以完成装备、装备帐号的录入：

1般只需要A到H列，后面只要复制模版中的便可，各列说明以下:

主机名：主机的名称

IP：主机的IP地址

服务器组：服务器所属组的ID号，由于目录中允许同名称的组，因此，服务器组用ID号替换，可以在资产管理-资源管理-目录节点中查看ID号，以下图：

系统类型：主机的操作系统类型，必须在第1章中添加的或系统自带的当选择添加。

系统用户：系统用户名，如果不想托管，则这项不填。

当前密码：系统播放的密码，如果不想托管，则这项可以不填。

登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式当选择相应的

端口：登录协议连接的目标端口

过期时间：这个系统帐号的过期时间，如果超过过期时间，则不在允许登录

自动修改密码：是不是对这个帐号进行自动修改密码（默许为否）

主帐号：自动修改密码时只使用1个帐号登录修改主机上所有的用户密码，如果是主帐号，则填是，主帐号1般为root权限或可以sudo 为root

自动登录：默许填是

堡垒机用户：均填否

Sftp用户 ：如果是SSH服务，则设置这个SSH用户是不是可使用SFTP服务，是为允许，否为不允许

公私钥用户：如果是SSH服务，设置这个SSH用户认证是否是使用公私钥方式，是或否

填好后点导入按钮导回，注意，也1定要勾上加密

9.系统授权，堡垒机帐号（主帐号）、主机系统帐号（从帐号）导入完成后，需要进行赋权操作，赋权后堡垒机帐号（主帐号）登录到堡垒机才能跳转到相应的装备。

赋权操作如果1个堡垒机帐号（主帐号）有大量从帐号的权限，则赋权是在系统用户组菜单完成的，如果为堡垒机帐号（主帐号）临时添加1个从帐号的赋权，则也能够在主机装备帐号菜单中完成。

赋权操作最好按用户组的方式进行赋，行将权限相同的用户放在同1个用户组中，然后为这个用户组创建1个系统用户组，将这些用户具有权限的主机装备帐号都加到这个组中，然后将这个系统用户组绑定给这个用户组，如果每一个用户的权限都不1样，也能够为单独的用户划分系统用户组落后行授权。

单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“添加新组”；填写“系统用户组”名，选中“未选装备”中系统用户添加到“已选装备”，肯定已选中想要赋权的堡垒机用户组的所有系统帐号后，点击“保存”；

单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“操作”栏中“授权”，勾选“授权组”或“授权用户”，配置完成单击“保存修改”；

授权后，组中的用户或被授权的用户，就具有了这个系统用户组中所有的主机系统帐号的权限。

到此，堡垒机的设置就完成了，下面说1说我的心得

堡垒机对运维人员有几个好的地方：

1.麒麟堡垒机的插件支持任何阅读器（我测试的商业版本，FIREFOX和CHROME只能使用JAVA方式）；

2.麒麟堡垒机有1个透明登录的功能非常好用，就是在设置好权限后，在列表导出里导出SECRECRT的列表，然后导到CRT的SESSIONS目录，在登录装备时，是直接登录，根本感觉不到堡垒机的存在，这个功能必须要赞。

生活不易，码农辛苦
如果您觉得本网站对您的学习有所帮助,可以手机扫描二维码进行捐赠