[[158050]]

ゲスト紹介

アレックスは長年にわたり運用と自動化開発に携わってきました。公安部、Fetion、Nokia China、CICC、Advent Software、Autohomeなどの企業で勤務経験があります。現在はOldboy EducationでPython指導ディレクターを務めています。テクノロジー、映画、音楽、旅行、そして女の子が大好きです！

テーマ紹介

CrazyEyeバンカー型マシンの誕生秘話と主な特徴については、以下で解説します。このソフトウェアのオープンソースアドレスは、この記事の最後に記載します。ご清聴ありがとうございました！

文章

休暇中はガールフレンドが家にいなかったので、外出して人混みを避けたかったので、家で要塞ホストを開発しました。オープンソースになったので、誰でも試すことができます。使う前に、まず要塞ホストの重要性について説明させてください！

これまで多くの企業は、バスティオンホストにあまり熱心ではありませんでした。これは、IT管理におけるバスティオンホストの重要性を十分に認識していないためです。バスティオンホストは単なるジャンプサーバーだと考えている人が多いですが、この理解は不完全です。ジャンプサーバー機能は、バスティオンホストの機能特性の一つに過ぎません。以下では、バスティオンホストの重要性について解説し、貴社のビジネスにバスティオンホストを導入する必要があるかどうかを判断する際の参考とさせていただきます。

要塞ホストには、アクセス制御と監査管理という 2 つの重要な機能があり、これらについては以下で個別に説明します。

アクセス管理

企業のサーバー数が増えると、サーバーを運用するのは運用・保守担当者1人だけでなく、複数の開発者も含まれるようになります。業務システムを運用する人数がこれほど多い場合、権限の割り当てが適切でないと重大なセキュリティリスクが生じる可能性があります。以下にいくつか例を挙げます。

1. 会社に300台のLinuxサーバーがあるとします。開発者Aは、ログの閲覧や問題追跡などのタスクを実行するために5台のWebサーバーにログインする必要があり、同時に他の10台のHadoopサーバーではroot権限も持っています。

300台のサーバーを持つネットワークでは、通常、統合認証のためにLDAPを使用します。この開発者が通常のユーザーとして5台のWebサーバーにのみログインできるようにするにはどうすればよいでしょうか？

同時に、他の 10 台の Hadoop サーバーに管理者としてログインすることを許可し、同時に残りの 200 台以上のサーバーへのアクセスを拒否します。

2. 私の知る限り、多くの企業の運用・保守チームは、利便性のために依然として同じルートパスワードを共有しています。この社内信頼メカニズムは、全員の作業をより便利にする一方で、大きなセキュリティリスクももたらします。

多くの場合、運用保守（O&M）担当者は一定数のサーバーのみを管理する必要があります。企業は複数の事業分野に分かれており、異なるO&M担当者がそれぞれ異なる事業分野を管理しているからです。しかし、単一のルートパスワードを共有することは、各O&M担当者の権限を無限に拡張するのと同等です。

つまり、運用および保守担当者が何か不正行為をしたい場合、数分以内に会社全体の業務を停止し、データを削除することさえ可能です。

リスクを軽減するために、事業部門ごとにルートパスワードを変更すれば問題が解決するのではないかと考えた人がいました。つまり、各事業部門の運用担当者は自分のパスワードしか知らないということです。もちろん、これは最もシンプルで効果的な方法です。

しかし、LDAPを併用している場合、これは非常に面倒です。たとえrootをLDAP認証しないように設定しても、運用・保守担当者が退職するたびに、その業務ラインのパスワードを再度変更しなければならないという新たな問題が発生します。

実は、上記の問題は要塞ホストを使うことで簡単に解決できると思います。サーバーへのすべてのユーザーの直接ログイン権限を取り消し、すべてのログイン操作を要塞ホスト経由で承認するのです。

運用・保守担当者や開発者は、リモートサーバーのパスワードを知りません。これらのリモートマシンのユーザー情報は要塞ホストに紐付けられており、要塞ホストのユーザーは、自分がどのリモートサーバーにどのような権限でアクセスできるかを確認することしかできません。

運用担当者と開発担当者のリモートサーバーへの直接ログイン権限を取り消すと、実質的には、会社の本番システムにおけるすべての認証プロセスを要塞ホスト経由で処理するのと同等になります。要塞ホストは、本番システムのSSO（シングルサインオン）モジュールになります。要塞ホストにいくつかのルールを追加するだけで、以下のアクセス制御を実現できます。

開発者 A は、5 台の Web サーバーに通常のユーザーとしてログインでき、10 台の Hadoop サーバーにルート権限でログインできますが、残りのサーバーに対するタスク アクセス権限はありません。

複数の運用および保守担当者が 1 つのルート アカウントを共有できますが、各要塞ホスト アカウントは各個人に固有であるため、どのサーバーで誰がどのコマンドを実行したかを区別することは可能です。

つまり、すべての運用および保守担当者が同じリモート ルート アカウントを共有しますが、各担当者は独自の要塞アカウントを使用するため、要塞ホストは各運用および保守担当者が異なるマシンにアクセスすることを制御できます。

ホストを作成

リモートユーザーの作成

ホストとリモートユーザーのバインド関係を作成する

CrazyEyeアカウントを作成する

WebSSHの設定

#p#

CrazyEyeホームページ

バッチコマンド

バッチファイル配布

設定ページ

監査管理

監査管理は実は非常にシンプルです。将来の監査やインシデント調査のために、すべてのユーザーアクションを記録することです。ユーザーアクションを記録する際に注意すべき重要な点は、これらの記録がアクションを実行したユーザーからは見えないようにすることです。これはどういう意味でしょうか？

これは、ユーザーが望むかどうかに関わらず、ユーザーの操作が記録されることを意味します。さらに、ユーザーが操作の記録を望まない場合や、記録されたコンテンツを削除したい場合でも、削除することはできません。そのため、操作ログはユーザーから見えず、アクセスできないようにする必要がありますが、これは要塞ホストによって容易に実現できます。

ユーザーによる監査

ホストによる監査

監査 - コマンド操作の詳細

オープンソース

CrazyEyeは、要塞ホスト＋ホスト管理ソフトウェアという点で、他のオープンソース製品とは異なります。Linuxホストの操作監査をサポートし、現在Windowsには対応していませんが（今後対応予定です）、ホスト上でのバッチコマンドとファイル配布操作をサポートします。スケジュールタスク管理機能は後日追加予定ですので、ご期待ください。

ソフトウェア Git アドレス:

 https://github.com/triaquae/CrazyEye.git

共に幸せに成長する方法

「効率的な運用と保守」WeChat公式アカウント（下記QRコード）はフォローする価値があります。WeChatグループ「効率的な運用と保守」シリーズの唯一の公式アカウントとして、毎週、各グループの議論のエッセンス、運用保守フォーラムの刺激的なオンライン共有、グループメンバーによるオリジナル記事など、貴重な情報満載のオリジナル記事を多数公開しています。また、「効率的な運用と保守」は、インターネットコラム「効率的な運用と保守のベストプラクティス」と「運用保守2.0」の公式WeChatアカウントでもあります。

注：効率的な運用・保守のための新しいグループが設立されました。ぜひご参加ください！応募するには、小天果の個人WeChatアカウント（xiaotianguo8）を友達に追加してください。メッセージには「グループへの参加を申請」とご記入ください。

重要事項：事前に許可がない限り、この記事を転載する前に、この公式アカウントで公開されてから2日間お待ちください。知的財産権の尊重は最優先事項です。この行を含め、記事全体を転載してください。

[編集者のおすすめ]

1. オープンソース ソフトウェアを使用するには、慎重に評価し、十分な情報に基づいた決定を行う必要があります。
2. デンマーク第2の都市オーフスはオープンソースソフトウェアを採用しています。
3. オープンソースインタビューシリーズ：Qingfeng - 子どもから始めるLinux教育の未来は楽観的ではない
4. オープンソースとインターネットは完璧にマッチします。
5. オープンソース コミュニティはいつ隠れんぼをやめるのでしょうか?