一、堡壘機介紹、搭建簡易堡壘機、安裝jailkit實現chroot、日志審計

一、堡壘機介紹

在一個特定網絡環境下，為了保障網絡和數據不受外界破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、及時處理及審計定責。

我們又把堡壘機叫做跳板機，簡易的跳板機功能簡單，主要核心功能是遠程登錄服務器和日志審計。

比較優秀的開源軟件jumpserver，它的功能主要為認證、授權、審計、自動化、資產管理。

商業堡壘機：齊治, Citrix XenApp。

二、搭建簡易堡壘機

比較適合小型的企業，公司沒多少機器，但是為了登錄，安全，可以搭建一個簡單的堡壘機（跳板機）。

功能：登錄公司內網服務器，查找，審計你登錄到機器里做了哪些操作。

具備堡壘機的條件是，該機器有公司和私網，其中私網和機房其他機器互通（局域網）。

設計堡壘機思路：

跳板機安全設置（iptables端口限制、登錄限制sshd_config）

用戶、命令權限限制（jailkit) http://blog.chinaunix.net/uid-28310119-id-3503318.html

客戶機器日志審計，唯一的不足是不能在跳板機上做，只能在客戶機上做。

http://www.68idc.cn/help/server/linux/2014042190951.html

三、安裝jailkit實現chroot

#?cd?/usr/local/src
#?wget?https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
#?tar?jxvf?jailkit-2.19.tar.bz2
#?cd?jailkit-2.19
#?./configure?&&?make?&&?make?install
#?mkdir?/home/jail???//創建一個目錄，作為虛擬系統的根目錄

下面這四條命令就是把常用的一些命令、文件搞到虛擬系統的目錄里去。

#?jk_init?-v?-j?/home/jail/?basicshell????????//這條命令就是把shell相關的命令、庫文件搞到虛擬系統的根目錄下去。
#?jk_init?-v?-j?/home/jail/?editors???????????//編輯器vi，vim搞過去。
#?jk_init?-v?-j?/home/jail/?netutils??????????//網絡相關的。
#?jk_init?-v?-j?/home/jail/???ssh?????????????//遠程登錄時用到的。
#?mkdir?/home/jail/usr/sbin
#?cp?/usr/sbin/jk_lsh?/home/jail/usr/sbin/jk_lsh???//相當于是虛擬系統的一個shell，把它復制過去。
1、#?useradd?zhangsan????//原系統創建一個用戶，如果需要創建多個用戶，就從這一步開始，執行這四步：1-4。
2、#?passwd?zhangsan
3、#?jk_jailuser?-m?-j?/home/jail?zhangsan????//在虛擬系統里創建一個用戶
#?cd?/home/jail/
[root@wbs?jail]#?cat?etc/passwd??//虛擬用戶zhangsan
root:x:0:0:root:/root:/bin/bash
zhangsan:x:1122:1122::/home/zhangsan:/usr/sbin/jk_lsh
//usr/sbin/jk_lsh這個shell是虛擬系統的shell，這個shell不能登錄，所以需要改成/bin/bash，這樣才能登錄虛擬用戶zhangsan
4、#?vim?/home/jail/etc/passwd?//把zhangsan那一行的/usr/sbin/jk_lsh改為/bin/bash
#?ls?/home/jail/???//可以看到常用的命令，庫文件都在虛擬系統的根目錄下了。
bin??dev??etc??home??lib64??usr

新建一個會話窗口，IP即本機的IP，用戶名zhangsan，密碼zhangsan，登錄，會看到兩行“bash: /usr/bin/id: No such file or directory”，因為要執行/etc/profile，在這個里面沒有這個命令，不用關心。

$ ls -l / ? ?//可以看到只有那6個目錄

按兩下Tab鍵可以看到只有117個可用的命令，就都是bin下的命令。

創建密鑰登錄，在.ssh目錄下添加密鑰，還需要在原系統的# vi /etc/ssh/sshd_config設定只允許密鑰登錄，將PasswordAuthentication yes改為no。

還要限定iptables規則，把不需要的端口全部限制，不用的服務關掉。

還要限定登錄的源IP：
#?vi?/etc/hosts.allow
新增：
sshd:?192.168.149.0/24?1.1.1.1?2.2.2.2
#?vi?/etc/hosts.deny?????//除了允許的網段和IP，其他的全部拒絕，這樣就可以增加機器的安全系數。
sshd:?ALL

四、日志審計

下面的操作是在客戶端上做的一些限制，限制來源IP。

到另一臺機器，先限制/etc/hosts.allow和deny

在hosts.allow里新增sshd: 192.168.149.133 ? ?（跳板機IP）

在hosts.deny里新增sshd: ALL

這時候再重新登錄這一臺機器就不能登錄了。

到zhangsan那一臺可以登錄：

# ssh root@192.168.149.129

這樣就做成了一個跳板機。

登錄對方用戶的時候用zhangsan，因為現在這臺機器是zhangsan，所以對方機器也需要創建一個zhangsan的用戶。

以下操作是需要在所有被登錄機器上做的

#?mkdir?/usr/local/records
#?chmod?777?!$
#?chmod?+t?!$
#?vi?/etc/profile?//添加
?if?[?!?-d??/usr/local/records/${LOGNAME}?]?????//logname，判斷登錄的用戶名。
then
mkdir?-p?/usr/local/records/${LOGNAME}
chmod?300?/usr/local/records/${LOGNAME}?????//指定這個用戶只能寫和執行。
fi
export?HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"???//指定一個記錄歷史命令的文件，下面的一條命令意思是將執行的最后一條命令記錄到這個文件里去。
export?PROMPT_COMMAND='{?date?"+%Y-%m-%d?%T?#####?$(who?am?i?|awk?"{print?\$1\"?\"\$2\"?\"\$5}")?####?$(history?1?|?{?read?x?cmd;?echo?"$cmd";?})";?}?>>$HISTORY_FILE'

重新再登錄這臺機器
#?cd?/usr/local/records/
[root@MRX?records]#?ls
root
[root@MRX?records]#?cd?root/
[root@MRX?root]#?ls
bash_history
[root@MRX?root]#?tail?bash_history?
2019-10-01?19:32:06?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:19:58?vim?/etc/profile
2019-10-01?19:32:17?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:17?ls
2019-10-01?19:32:34?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:34?cd?/usr/local/records/
2019-10-01?19:32:35?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:35?ls
2019-10-01?19:32:37?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:37?cd?root/
2019-10-01?19:32:38?#####?root?pts/0?(192.168.149.1)?####?2019/10/01?19:32:38?ls

這個不像系統里history，它只有在你正常退出這個終端后才會記錄這些命令，敲過的命令僅僅只是保存在內存里的，并沒有記錄到文件里，要想記錄到文件里，必須要正常的退出，如果斷電了或者其他原因退出了，這些命令就記不進去。但是這個日志審計就沒問題。

[root@MRX?root]#?useradd?zhangsan????//創建一個zhangsan用戶
[root@MRX?root]#?passwd?zhangsan

再到跳板機登錄它：

[zhangsan@wbs?~]$?ssh?zhangsan@192.168.149.129

//然后隨意執行一些命令，再到客戶端上看，就可以看到zhangsan用戶敲過的命令。

[root@MRX?records]#?ls
root??zhangsan

這種方法并不完美，是可以破解的，這只是一個簡單的堡壘機，要想做一個完美的堡壘機，還需要借助一些專業的工具、軟件。