堡垒机安装部署测试文档.docx

堡垒机安装部署测试及优缺点总结近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,、SSH、FTP、SFTP已经足够了因此将这套堡垒机已经用于生产环境。现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享。我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。麒麟堡垒机安装条件:系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来。系统最低硬件配置为:Intel64位CPU、4G内存、200G硬盘。(注意:32位CPU装不上)。安装过程:麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要任何的干涉(安装过程赞一个,基本上可以给95分)。过程图如下:插入光驱进行启动,会到安装界面,在”blj”那里直接回车(PS:如果使用笔记本进行虚机安装,先选择”InstallPcvm”,方式使用500MSWAP,默认安装方式使用32GSWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP不够用问题)。我的硬件物理机为8G内存,普通的E3单个CPU,2T串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。系统配置:安装过后,系统默认IP为:,可以直接使用笔记本配置一个同网段的IP,然后直接连到ETH0上,使用IE输入,默认口令为admin/,登录后到系统配置-网络配置-网络配置中,编辑eth0口,将IP地址、掩码、网关修改成自己的,点保存修改,系统会将IP修改为本地IP。(PS:太新了!),后台登录密码也给了(这个太优越于商用堡垒机了),技术大神可以直接到后台修改IP即可,注意后台SSH端口为2288,用户名密码为root/Baoleiji123系统配置好后,如果你要用图形协议,需要找开发者申请图形的Licenses,如果只用字符的,就可以直接使用了,我这里全是LINUX,因此没有进行Licenses申请,麒麟堡垒机上线我主要做了四步:建立目录结构—导入堡垒机帐号(主帐号)—导入服务器帐号(从帐号)—主从帐号关联授权,说真的,比商业堡垒机都要好用。建立目录结构:目录是类于设备组和用户组,麒麟堡垒机是LDAP结构,组里可以放用户也可以放设备,我觉得这点不方便,我是把用户和设备分别建组,在添加用户、设备时,一定要先加组,因为没有组的话设备和用户加不上。资源管理-资产管理-目录管理,页签,单击“增加新节点”;根据所要创建的组类型选择“所属目录”与“属性”。图1PS:“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。导入堡垒机帐号(主帐号),菜单-资源管理-资产管理-用户管理中,默认有四个帐