企业可以自己搭建堡垒机吗？如何搭建堡垒机？

可以的。

一、企业为什么要搭建堡垒机？

企业目前的运维 *** 作流程类似一个“黑盒”，我们并不清楚当前运维人员或代维工程师正在进行哪些运维 *** 作，在哪台设备上执行 *** 作， *** 作是哪一位来执行，而企业搭建堡垒机的主要目的在于让远程运维 *** 作管理实现按用户授权、事中录像监控、事后指令审计，保证企业数据安全。

二、企业如何搭建堡垒机？

下扰搭面以某开源堡垒机搭建为例：

1、准备 Python3 和 Python 虚拟环境

①安装依赖包

②编译安装python3

③建立 Python 虚拟环境

2、安装堡垒机

①下载或 Clone 项目

②安装依赖 RPM 包

③安装 Python 库依赖

④安装 Redis

⑤创建数据库 堡垒机 并授权

⑥修改 堡垒机 配置文件

⑦生成数据库表结构和初始化数据

⑧运行堡垒机

3、安装 SSH Server 和 WebSocket Server: Coco

①下载或 Clone 项目

②安装依赖

③查看配置渗芦文件并运行

④测试连接

4、安装 Web Terminal 前端: Luna

5、配置 Nginx 整合各组件

对于中小企业来讲，虽然搭建开源堡垒机能够满足最最基本的企业的安全需求，丛李带但是开源堡垒机需要专人进行安装维护和二次开发，而开发堡垒机这个人必须非常熟悉Linux、公司业务而且还要会Python，这个专业的运维人员成本不亚于购买商用堡垒机。此外如果企业不想自己雇佣高成本的运维人员，也可以联系开源堡垒机厂商进行维护更新和二次开发，这部分费用也不亚于购买商用堡垒机。从这个角度讲，开源堡垒机并不等同于免费堡垒机，后期成本可能远远高于商用堡垒机，对开源堡垒机厂商还没有任何责任约束。

因此企业必须综合考量企业安全运维需求与企业实力，如果企业实力雄厚，可以让自己的开发团队独立自主的开发堡垒机，当然也可以购买价格高昂的硬件堡垒机。如果是创业企业或者中小企业，建议购买云堡垒机，行云管家云堡垒机是市面上首款也是唯一一款支持Windows2012/2016系统 *** 作指令审计的堡垒机，SaaS版云堡垒机一年的费用比企业前台月薪还要低，私有部署版堡垒机终身使用版比一个运维工程师的年薪低。

一拿纤、目的

通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能：

1、ssh、telnet登录网络设备的账户统一在radius进行，方便定期修改密码、账户删减；

2、通过堡垒机登录设备能控制权限、资源，并且有 *** 作记录，符合安全等报；

二、安装步骤

2.1 开源堡垒机Jumpserver安装

可以参考jumperserver官网安装步骤；

2.2、radius服务器安装

radius可以使用Windows的NPS（Network Policy Server ）或者是freeradius。

本次使用Windows server 2008安装NPS

2.3 交换培闭机配置

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa domain enable    ------>开启域名功能

Ruijie(config)#radius-server host  X..X.X.X------>配置radius IP

Ruijie(config)#radius-server key RADIUS      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login radius group radius local  ------>设置登入方法认证列表为ruijie，先用radius组认证，如果radius无法响应，将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication radius    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie  ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie        ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密，这样show run就是密配敏裂文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后，需要等待1小时才能再次尝试登入系统

注：锐捷交换机3760设备型号较老旧，使用ip domain-lookup

    2.2 ssh配置

    1）开启交换机的web服务功能

      Ruijie#configure terminal

      Ruijie(config)#enable service ssh-server

   2) 生成加密密钥：

      Ruijie(config)#crypto key generate dsa            ------>加密方式有两种：DSA和RSA,可以随意选择

      Choose the size of the key modulus in the range of 360 to 2048 for your

      Signature Keys. Choosing a key modulus greater than 512 may take

      a few minutes.

      How many bits in the modulus [512]:  1024               ------>输入1024直接敲回车

      % Generating 512 bit DSA keys ...[ok]

注：Jumpserver管理网络设备建议使用ssh方式，同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024

---