运维审计 - Teleport ¶
#运维审计 #开源软件 #工具 #资源
Teleport 是一款用于运维审计,和运维安全保护的工具,属于 #堡垒机
主要特点
- 使用/部署起来比较方便
- 需要 Agent 支持,这个是 Teleport 有别于其他堡垒机的一个重大区别,大部分堡垒机不需要 Agent 支持
- 支持运维 Web 资产,数据库资产。可以部署集中式代理
部署服务端 ¶
# 安装
curl https://cdn.teleport.dev/install.sh | bash -s 18.6.0
安装完后提示如下
The following commands are now available:
teleport - The daemon that runs the Auth Service, Proxy Service, and other Teleport services.
tsh - A tool that lets end users interact with Teleport.
tctl - An administrative tool that can configure the Teleport Auth Service.
tbot - Teleport Machine ID client.
fdpass-teleport - Teleport Machine ID client.
teleport-update - Teleport auto-update agent.
创建配置 ¶
sudo teleport configure -o file \
--cluster-name=teleport.example.com \
--public-addr=teleport.example.com:443 \
--cert-file=/var/lib/teleport/fullchain.pem \
--key-file=/var/lib/teleport/privkey.pem
注意 --public-addr 参数,如果是使用域名,就填写正确的域名,如果是IP,又使用DOCKER的话,使用外部能够访问到的域名,这个参数类似于一些服务的 BASE_URL 属性,如果证书没有自动生成,可以参考 openssl 自签证书 自签一个证书,或者使用购买的证书。
启动 teleport ¶
teleport start --config="/etc/teleport.yaml"
配置超管用户 ¶
sudo tctl users add teleport-admin --roles=editor,access --logins=root,ubuntu,ec2-user
配置完后会给一个邀请链接,通过链接设置用户名,密码和多因素认证
创建Web资产 ¶
进入管控台后,可以按照指引创建资产,系统会提示在受控资产上安装 Agent 程序,比如,添加 Web 资产的命令是
# 先要安装Teleport
# 然后配置为 Agent
teleport configure --output=$HOME/.config/teleport/guacamole.yaml --app-name=Guacamole --app-uri=http://1.2.3.4:8080/guacamole --roles=app --token=a78ba172e1da448fceb245df5b4af495 --proxy=2.3.4.5 --data-dir=$HOME/.config/teleport
# 启动 teleport
teleport start
对于 Web 资产和数据库,可以用一台专门的服务器代理连接,对于RDP/SSH等连接,必须在受控资产安装Agent,因为 Teleport 并未使用标准协议进行通信
创建 SSH/RDP等资产 ¶
同上,在每台资产上安装
评论
请登录后发表评论。
暂无评论。成为第一个评论者!