工控系统远程运维:开源免费堡垒机Teleport
工控系统远程运维:开源免费堡垒机Teleport单点登录安全增强因为Teleport内建了所需的脚本引擎、WEB服务等模块,因此不需要额外安装其他的库或者模块,整个系统的安装与部署非常方便。2、特点极易部署
一、前言:1、官方简介
Teleport是一款简单易用的开源堡垒机系统,具有小巧、易用的特点,支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。
Teleport由两大部分构成:
Teleport非常小巧且极易安装部署:仅需一分钟,就可以安装部署一套您自己的堡垒机系统!
因为Teleport内建了所需的脚本引擎、WEB服务等模块,因此不需要额外安装其他的库或者模块,整个系统的安装与部署非常方便。
2、特点
极易部署
安全增强
单点登录
按需授权
运维审计
3、实验说明
本实验以10.0.10.10为服务器地址,安装Teleport 3.5.6版本
4、完成效果图
1、安装centos
本实验安装centos7.6系统
2、下载软件
下载地址:https://tp4a.com/download
下载服务端安装包和客户端助手
(目前是3.2.2版本,3.5.6即将上线)
3、软件上传
将服务端安装包使用FTP上传到centos中
本实验上传到/root目录中
二、安装服务端1、解压安装包
tar -zxvf teleport-server-Linux-x64-3.5.6-rc5.tar.gz
解压完成
2、进入安装包文件夹,添加权限
cd teleport-server-linux-x64-3.5.6/
chmod 777 -R .
3、安装程序
sudo ./setup.sh
使用默认安装路径,直接按回车
默认安装在/usr/local/teleport
安装完成
三、放行防火墙端口1、端口官方说明
默认安装的情况下,Teleport服务端在四个端口上监听外部接入:
注:这些端口可以在核心配置文件core.ini中更改设置,也可以根据需要禁用无需支持的协议端口。
2、放行端口
为保证客户端能够接入,需要在teleport服务器主机防火墙放开以上端口
firewall-cmd --zone=public --add-port=7190/tcp --permanent
firewall-cmd --zone=public --add-port=52089/tcp --permanent
firewall-cmd --zone=public --add-port=52189/tcp --permanent
firewall-cmd --zone=public --add-port=52389/tcp --permanent
重载入添加的端口
firewall-cmd --reload
四、安装助手,通过WEB访问1、在客户端上安装前面下载好的助手
2、初始化配置
打开系统登陆地址:
http://10.0.10.10:7190/
设置管理员账户
设置完成
3、登陆WEB端
初始化设置完成后,刷新页面或者重新打开系统登陆地址,即可进入teleport的登录界面
初始账户和密码都是admin
4、添加主机,开始使用
可添加Windows和Linux主机
5、SSH和RDP远程运维
添加完主机后,点击远程按键即可进行远程,Windows主机可选择分辨率,Linux主机可使用sftp
6、审计功能,操作回放
在审计-会话记录中,可以回放远程操作过程
回放可加速,可跳过无操作的部分
1、服务崩溃
手动启动进程
/etc/init.d/teleport start
2、操作完整的teleport服务
启动:/etc/init.d/teleport start
停止:/etc/init.d/teleport stop
重启:/etc/init.d/teleport restart
查看运行状态:/etc/init.d/teleport status
3、修改默认端口
需要修改两个配置文件。
cd /usr/local/teleport/data/etc
vi core.ini
vi web.ini
其中的7190全部改成自定义端口
重启服务
/etc/init.d/teleport restart
