Centos7.9部署Teleport堡垒机

简介

Teleport是一款简单易用的开源堡垒机系统,具有小巧、易用的特点,支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。
Teleport由两大部分构成:
1)跳板核心服务
2)WEB操作界面
Teleport非常小巧且极易安装部署,由于Teleport内建了所需的脚本引擎、WEB服务等模块,因此不需要额外安装其他的库或者模块,整个系统的安装与部署非常方便
特点
1、极易部署,简洁设计,小巧灵活,无额外依赖
2、安全增强,配置远程主机仅可被teleport服务器连接,可有效降低嗅探、扫描、暴力破解等***风险
3、单点登录,只需登录teleport服务器,即可一键连接您的任意远程主机,无需记忆每台远程主机的密码
4、按需授权,可以授权指定运维人员访问指定的远程主机,也可回收授权
5、运维审计,对远程主机的操作均有详细记录,支持操作记录录像、回放,可轻松完成审计工作

前期准备

数据库默认使用sqlite数据库,

SQLite是一个轻型的数据库,无需任何服务,无需任何配置的绿色数据库。

SQLite是一个进程内库,它实现了一个自包含、无服务器、零配置、事务性SQL数据库引擎。

SQLite是一个嵌入式SQL数据库引擎。与大多数其他SQL数据库不同,SQLite没有单独的服务器进程。SQLite直接读写普通磁盘文件。包含多个表、索引、触发器和视图的完整SQL数据库包含在单个磁盘文件中。

需要在teleport/data/etc/web.ini配置

sqlite-file=/usr/local/teleport/data/db/teleport.db

也可以部署到mysql(mariadb)上,我使用mysql作为数据库存储

部署MySQL数据库

[root@teleport ~]# yum install mysql mysql-server mysql-devel -y
[root@teleport ~]# systemctl start mysqld
[root@teleport ~]# systemctl enable mysqld

创库并授权用户

mysql> CREATE database teleport DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
mysql> grant all privileges on teleport.* to 'teleport'@'localhost' identified by 'your_password';
mysql> flush privileges;

下载并解压

[root@teleport ~]# wget https://tp4a.com/static/download/teleport-server-linux-x64-3.2.2.tar.gz 
[root@teleport ~]# tar zxvf teleport-server-linux-x64-3.2.2.tar.gz

部署Teleport

[root@teleport ~]# cd teleport-server-linux-x64-3.2.2
[root@teleport ~]# ./setup.sh

修改配置文件

[root@teleport ~]# vi  /usr/local/teleport/data/etc/web.ini

mysql-host=127.0.0.1 mysql-port=3306 mysql-db=teleport mysql-prefix=tp_ mysql-user=teleport mysql-password=your_password

[root@teleport ~]# systemctl start teleport.service 
[root@teleport ~]# systemctl enable teleport.service

可视化web配置

访问http://主机ip地址:7190进行配置服务器的数据库信息和管理员信息

安装完,刷新浏览器后重新登录

1、资产----主机及帐号
创建服务器登录----帐号数----添加帐号

ansible部署堡垒机 堡垒机部署模式_mysql

 

2、用户管理

创建用户----添加用户信息(角色,帐号,姓名,email)

ansible部署堡垒机 堡垒机部署模式_ansible部署堡垒机_02

 

3、运维授权

新建授权策略----点击授权策略

ansible部署堡垒机 堡垒机部署模式_SQL_03

 左侧添加用户或者用户组----右侧添加授权的资产

ansible部署堡垒机 堡垒机部署模式_ansible部署堡垒机_04

 

4、主机运维

宿主机安装并启动Teleport助手
使用SSH连接远程linux主机(内置putty),windows主机(内置freerdp)
可以在助手设置中选择自己擅长使用的远程工具

 5、审计

审计授权

会话审计

服务迁移

若需要把当前机器的Teleport服务迁移到新的服务器上
备份数据库,将bak.sql传送到新服务器

[root@teleport ~]# mysqldump -u root -p teleport > /tmp/bak.sql

新机器还原数据

mysql> create database teleport;
mysql> source /tmp/bak.sql