运维审计系统----堡垒机的部署

Posted 2022-11-27 可乐卷儿

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

文章目录

• 二、堡垒机部署
• • 1、安装前置知识点说明
  • 2、ISO安装方式
  • 3、虚拟机安装堡垒机
  • 4、使用SecureCRT登录堡垒机
  • 5、WEB页面浏览堡垒机
• 三、部署安装Windows server
• 四、堡垒机设置
• • 1、添加Web用户和用户组
  • 2、添加设备组“servers”，再添加设备用户“Windows”和“Centos”
  • 3、Centos授权
  • 4、Windows授权
  • 5、打开SecureCRT
• 五、审计用户的操作行为
• • 1、centos监控-ssh
  • 2、win10监控-RDP

---

# 一、项目环境

管理工作站通过运维堡垒机管理Windows和Centos主机，管理工作站无法直接与被管主机通信，管理工作站操作行为可审计、可回放
准备三台虚拟机，2台linux操作系统（安装麒麟堡垒机 和安装Centos主机）、1台微软操作系统（Win10)，如下：

二、堡垒机部署

1、安装前置知识点说明

安装方式分为安装包安装方式和ISO安装方式，安装包方式为先安装一个Centos 7.x系统，然后下载安装包进行安装，安装过程需要有可连接的yum源，
ISO方式为下载ISO，硬件服务器只支持STAT硬盘，将ISO记录成光盘（注意不支持U盘）后，进行一键安装，或将ISO文件挂在虚机上进行一键安装。
二者不同点为，安装包方式必须先安装一个Centos7.x系统，ISO安装方式将操作系统和软件进行一体安装，并且将会格式化安装目标机硬盘。

2、ISO安装方式

硬件需求: 内存>=1G、CPU >=1核、硬盘>=10G（硬盘必须为STAT模式，另外支持虚机vda模式）

ISO 下载:http://get.tosec.com.cn/open.iso

ISO安装注意事项：

1. 硬件服务器必须用光盘安装，目前不支持U盘启动安装
2. 系统安装完成后，默认IP为192.168.1.100，需要修改IP后使用
   系统使用光盘启动后，打开安装界面，直接进行回车即可完成安装。

注： 默认在install blj选项，如果非2T以上的STAT硬盘都要用这个模式，如果硬盘大于2T，请用GPT模式，如果在KVM类型虚机中使用vda硬盘，请使用install vda模式

系统安装完成后会自动重启，后台登录方式为ssh 2288口，用户名root，密码blj2015BLJ,登录后请修改root密码。

3、虚拟机安装堡垒机

– 点击【新建虚拟机】–点击【自定义高级】
–页面【选择虚拟机硬件兼容性】–点击【下一步】
–页面【安装客户机操作系统】–点击【稍后安装操作系统】–点击【下一步】
–页面【安装客户机操作系统】–点击【Linux】–选择【Cento7 64位】–点击【下一步】
–页面【命名虚拟机】–【虚拟机名称】输入:堡垒机–【位置】浏览：位置自己拟定----点击【下一步】
–页面【处理器配置】–【处理器数量】输入:2–【每个处理器的内核数量】输入:2—点击【下一步】
–页面【此虚拟机内存】–【此虚拟机内存】输入:4096M—点击【下一步】
–页面【使用网络地址转换NAT】—点击【下一步】
–页面【选择I/O控制类型】默认—点击【下一步】
–页面【选择磁盘类型】–点击【SATA】—点击【下一步】
–页面【选择磁盘】–点击【创建新虚拟机】—点击【下一步】
–页面【指定磁盘容量】–点击【最大磁盘大小】输入：300G —点击【下一步】
–页面【指定磁盘文件】默认 —点击【下一步】
–页面【已准备好创建虚拟机】默认 —点击【自定义硬件】
–页面【硬件】 —点击【添加】—点击【网络适配器】–找到新加的网卡【自定义】：VM1–点击【确定】–点击【完成】
–页面【硬件】 —点击【CD/DVD】—点击【使用ISO映像文件】–点击【浏览】：找到堡垒机的镜像ISO文件–点击【确定】
–页面【硬件】 点击【关闭】
–页面【已准备好创建虚拟机】 —点击【完成】
–点击【堡垒机】：开机
–页面【Centos 7】 —点击【install blj <2T disk use】—回车 ###此时出现麒麟堡垒机安装的页面
耐心等待，安装后会重启堡垒机
–页面【Centos 7 Core】 —点击【Audit login】输入：root —回车
—提示输入密码【Password】输入：blj2015BLJ —回车
进入linux命令行界面，修改网卡信息

【root@audit ~】#  ifconfig

发现2张网卡：eth0 和eth1 eth0配置IP地址192.168.1.100 eth1是新添加的没有IP地址信息
eth0:NAT
eth1:VM1

编辑网卡信息

【root@audit ~】#  vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.35.80
NETMASK=255.255.255.0
GATEWAY=20.0.0.2

【root@audit ~】#  vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.10.108
NETMASK=255.255.255.0

【root@audit ~】#  systemctl restart network	##重启网络

4、使用SecureCRT登录堡垒机

–点击【连接】–输入【Hostname】192.168.35.80–输入【Port】2288–输入【Username】root
–点击【connect】–点击【Password】输入:blj2015BLJ --勾选【Save Password】–点击【OK】

5、WEB页面浏览堡垒机

打开浏览器输入：https://192.168.35.80 （使用360浏览器/qq浏览器，谷歌无法打开）
–页面【中远麒麟iAudit 运维审计系统】
–点击【用户名】admin
–点击【口令】12345678
–点击【认识方式】登录名
–点击【登录】

出现中远麒麟iAudit 运维审计系统 的页面

【服务器状态】【系统状态】【双击配置】。。。。。。

。。。。。

三、部署安装Windows server

Centos 7.6	IP地址规划：192.168.10.100	关闭防火墙关闭核心防护	开启ssh远程访问服务	root 123456
Windows 10	IP地址规划：192.168.10.101	关闭防火墙	开通3389远程	administrator 123456

Windows10专业版的用户可以通过修改组策略实现
路径如下：
运行(Win+R键)，输入gpedit.msc
本地组策略：
计算机配置>管理模板>系统>凭据分配>加密Oracle修正
选择“启用”并选择“易受攻击”

四、堡垒机设置

• 添加Web用户“admin01”、“admin02”、“admin03”和用户组“admins”，
• 添加设备组“servers”，再添加设备用户“Windows”和“Centos”。
• 为用户授权：admin01作为超级管理员可管理Windows和Centos两台主机，admin02只能管理Windows主机，admin03只能管理Centos主机。
• 在管理工作站使用SSH工具通过运维堡垒机登录Centos主机并执行目录浏览等常见操作，在管理工作站使用远程桌面工具通过堡垒机登录Windows主机并执行目录浏览等操作。
• 审计用户的操作行为，确认操作账户、操作时间、操作类型等信息。
• 回放用户的操作行为。

1、添加Web用户和用户组

添加Web用户“admin01”、“admin02”、“admin03”和用户组“admins“

–点击【资源管理】–点击【用户组管理】–点击【添加新节点】
–点击【节点名】输入：admins
–点击【属性】选择：用户
–点击【确认】
–点击【资源管理】–点击【web用户】–点击【添加用户】
–点击【用户名】输入：admin01
–点击【真是姓名】输入：张三
–点击【密码】输入：123456!@#
–点击【确认密码】输入：123456!@#
–点击【用户组】选择资源组：admins
–点击【保存修改】
–点击【资源管理】–点击【web用户】–点击【添加用户】
–点击【用户名】输入：admin02
–点击【真是姓名】输入：李四
–点击【密码】输入：123456!@#
–点击【确认密码】输入：123456!@#
–点击【用户组】选择资源组：admins
–点击【保存修改】
–点击【资源管理】–点击【web用户】–点击【添加用户】
–点击【用户名】输入：admin03

–点击【真是姓名】输入：王五

–点击【密码】输入：123456!@#
–点击【确认密码】输入：123456!@#
–点击【用户组】选择资源组：admins
–点击【保存修改】

2、添加设备组“servers”，再添加设备用户“Windows”和“Centos”

–点击【资源管理】–点击【设备管理】–点击【设备组管理】–点击【添加新节点】
–点击【用户名】输入：servers
–点击【属性】选择：设备
–点击【确认】
–点击【资源管理】–点击【设备管理】–点击【设备管理】–点击【添加】
–点击【主机名】输入：Centos
–点击【设备类型】选择：linux
–点击【IPv4】输入：192.168.10.100
–点击【设备组】选择资源组：servers
–点击【保存修改】
–点击【资源管理】–点击【设备管理】–点击【设备管理】–点击【添加】
–点击【主机名】输入：Windows
–点击【设备类型】选择：Windows
–点击【IPv4】输入：192.168.10.101
–点击【设备组】选择资源组：servers
–点击【保存修改】

为用户授权：admin01作为超级管理员可管理Windows和Centos两台主机，admin02只能管理Windows主机，admin03只能管理Centos主机

3、Centos授权

–点击【资源管理】–点击【设备管理】–点击【设备管理】–找到192.168.10.100点击【用户】–点击【添加】
–点击【用户名】输入：root
–点击【原始密码】输入：123456
–点击【再次输入原始密码】输入：123456
–点击【登录方式】选择SSH
–点击【端口】选择22
–找到【只显示未授权】勾选admin01(张三)、勾选admin02(李四)
–点击【保存修改】

4、Windows授权

–点击【资源管理】–点击【设备管理】–点击【设备管理】–找到192.168.10.101点击【用户】–点击【添加】
–点击【用户名】输入：ZW1 （虚拟win的账号密码，与真机一致）
–点击【原始密码】输入：y
–点击【再次输入原始密码】输入：y
–点击【登录方式】选择RDP
–点击【端口】选择3389
–找到【只显示未授权】勾选admin01(张三)、勾选admin03(王五)
–点击【保存修改】

在管理工作站使用SSH工具通过运维堡垒机登录Centos主机并执行目录浏览等常见操作，在管理工作站使用远程桌面工具通过堡垒机登录Windows主机并执行目录浏览等操作。

●使用 SecureCRT 或 Xshell、Putty 等任何一种工具，在目标 IP 中输入运维堡垒机 IP，用户名为运维堡垒机 Web 用户名，密码为登录运维堡垒机 Web 用户密码

5、打开SecureCRT

–点击【快速链接】–点击【主机名】输入：192.168.35.80
–点击【端口】输入：22
–点击【用户名】admin01
–点击【链接】
–输入密码：123456!@#
–找到【Input】输入：1

输出信息如下：

Your password will be expired in 99999 days.
Welcome to Baoleiji System.
Please select an IP Address:
[1]192.168.10.100                          Centos                             root                     [P]Previous page.        [N]Next page.            [Q]Quit.]IP Address.
Input: 1
Last login: Thu Oct  8 04:35:17 2020 from 192.168.10.1
[root@localhost ~]# 
[root@localhost ~]# ifconfig 
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.35.40  netmask 255.255.255.0  broadcast 192.168.35.255
        inet6 fe80::20c:29ff:fe01:e611  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:01:e6:11  txqueuelen 1000  (Ethernet)
        RX packets 935708  bytes 840430809 (801.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 463000  bytes 64693462 (61.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.100  netmask 255.255.255.0  broadcast 192.168.10.255
        inet6 fe80::20c:29ff:fe01:e61b  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:01:e6:1b  txqueuelen 1000  (Ethernet)
        RX packets 29761  bytes 22439637 (21.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4763  bytes 358585 (350.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 

在真机环境下WIn10 打开远程桌面链接
–点击【计算机】输入：192.168.35.80
–页面【堡垒机登录】
–点击【堡垒机登录】admin01
–点击【堡垒机密码】123456!@#
—页面【服务器选项】
–点击【服务器IP】选择192.168.10.101(需要保证虚拟win10是开机状态)
–点击【确定】

五、审计用户的操作行为

1、centos监控-ssh

1. 确认操作账户、操作时间、操作类型等
打开麒麟审计系统----运维审计----操作审计—下载

2. 回放用户的操作行为
打开麒麟审计系统----其他----工具下载----ssh恢复程序—双击下载的ssh回放程序–播放审计下载的视频

2、win10监控-RDP

下面没有啦~~~你会了吗？
不会?
emm…
再看一遍，好吧(╯▽╰)