finallshell堡垒机_用lshell+脚本实现堡垒机(跳转机)功能

堡垒机的基本功能：

多用户权限管理

限制登录用户所处的目录

限制登录用户有使用的命令

记录登录用户执行的命令

可以限制用户登录到堡垒机后只能使用ssh和passwd两个命令，根据实际情况进行限制。

ssh要远程到要实际登录的服务器上。

passwd修改自己用户的密码。

可以通过编写一些脚本来替换掉原来的ssh命令文件，达到一些自己想要的功能。

比如执行ssh命令需要一个密码才能执行；判断一下要登录的IP地址是否存在。

1、安装系统

安装一个最简系统纯文本系统，多余的东西都不要安装，后面需要什么再安装什么。

安装完，还可以禁用或删除各种不需要的服务、文件。

开防火墙

开SELinux

2、分配账号

根据不同的岗位创建不同用户组、不同的用户，每个人一个账号。

创建三个用户组：

admin:运维人员

dba:数据库人员

web:开发

#groupadd admin

#groupadd dba

#groupadd web

再把用户分别分配到三个用户组中：

#useradd admin1 -g admin

#useradd admin2 -g admin

#useradd admin2 -g admin

3、安装lshell工具

gif主页：https://github.com/ghantoos/lshell

如果堡垒机没有联网，可以从别的地方下载安装文件，再复制过来。

git clone https://github.com/ghantoos/lshell.git

cd lshell

python setup.py install –no-compile –install-scripts=/usr/bin/

如果没报错，即安装成功。

4、配置conf

配置好这个文件，就能达到很好的效果。

vim /etc/lshell.conf

4、改变用户默认shell，使用lshell作为默认shell:

# cp /etc/lshell.conf /usr/local/etc/

# chsh -s /usr/bin/lshell user_name 这个命令只能修改某个用户的，可以写个脚本来批量修改

5、开启日志

为了记录用户日志，需要创建相关目录

# addgroup –system lshell

# mkdir /var/log/lshell

# chown :lshell /var/log/lshell

# chmod 770 /var/log/lshell

然后增加用户到lshell group:

# usermod -aG lshell user_name

/etc/lshell.conf配置详解：

四个小节:

[global] -> lshell的系统配置 (only 1)

[default] -> lshell的默认用户配置 (only 1)

[foo] -> 指定UNIX的系统用户”foo”的特别的配置

[grp:bar] -> 指定UNIX用户组”bar”的特别的配置

当加载参数的时候遵循以下顺序:

1- User configuration

2- Group configuration

3- Default configuration