README

open_bastion_host -- linux下简易开源的堡垒机，ssh使用体验不亚于专业堡垒机厂商

支持ssh的方式的的服务器登录、权限控制、审计、回放等基本操作，满足一般需求

clone代码后，需要进行简单的配置就可以使用了

1、创建跳板机用户
先创建tianbanji用户及tiaobanji组，只有跳板机组的用户ssh登录时才登录到非shell的跳板机程序
useradd tiaobanji
安全起见不允许tiaobanji用户登录系统
usermod -s /sbin/nologin

通过本项目自带的add_user.sh来创建跳板机用户


2、设置跳板机用户登录后直接进入跳板机程序而非shell
在/etc/profile文件最后追加如下内容
# tail /etc/profile
###add by laijingli for guide user who login  will run into tiaobanji,not login to bash shell
#if [ $UID -ge 10000 ] && [ $UID -lt 10050 ];then
id -nG|grep tiaobanji >/dev/null
user_in_tiaobanji_group=$?
if [ $user_in_tiaobanji_group = 0 ];then
        shell_script_path=/backup/devops/devops/tiaobanji/tiaobanji.sh
        log_file_name=/backup/log/$(whoami)_screen_tiaobanji_$(date +%Y%m%d%H%M%S)
        exec /usr/bin/script -q -t -c "$shell_script_path" 2>$log_file_name.date  -a  -f $log_file_name.log
fi

使profile对当前shell生效
source /etc/profile


3、跳板机用户登录服务器,所有的操作对用户来说是透明的
ssh laijingli@192.168.100.119


4、审计
直接查看log文件


5、回放scriptreplay
centos发行版默认只有script，而没有scriptreplay，需要安装一下scriptreplay：
wget http://dxdown.onlinedown.net/down/util-linux-ng-2.17.2.tar.zip 
unzip util-linux-ng-2.17.2.tar.zip 
tar zxvf util-linux-ng-2.17.2.tar.gz 
cd util-linux-ng-2.17.2 
./configure && make (注意此处只是make，不install，install的话安装的工具集太多了，还会覆盖现有的一些命令) 
cp misc-utils/scriptreplay /usr/bin/ 
cd .. 
rm -rf util-linux-ng-2.17.2*

回放，
格式scriptreplay time log 回放速率（大于1快进，小于1慢放，等于1正常播放）
/usr/bin/scriptreplay /backup/log/laijingli_screen_tiaobanji_20151020173505.date /backup/log/laijingli_screen_tiaobanji_20151020173505.log  3


6、更高级点的回放工具scriptreplay_ng  https://github.com/scoopex/scriptreplay_ng，支持暂停、即时快进、即时慢放、auditshell等。
运行时报错，需要安装perl模块Term::ReadKey - A perl module for simple terminal control 
[root@vm_test_yunniao_fabuji119 scriptreplay_ng]# ./scriptreplay
Can't locate Term/ReadKey.pm in @INC (@INC contains: /usr/lib64/perl5/site_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/site_perl/5.8.8 /usr/lib/perl5/site_perl /usr/lib64/perl5/vendor_perl/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/vendor_perl/5.8.8 /usr/lib/perl5/vendor_perl /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi /usr/lib/perl5/5.8.8 .) at ./scriptreplay line 19.
BEGIN failed--compilation aborted at ./scriptreplay line 19.

yum install perl-TermReadKey

#回放，支持键盘控制暂停、即时快进、即时慢放、auditshell等
/backup/scriptreplay_ng/scriptreplay  20151019224430_screen_tiaobanji_laijingli.date  20151019224430_screen_tiaobanji_laijingli.log


7、加固跳板机
比如修改ssh默认端口号
对外只开放ssh服务
只允许跳板机组里的用户登录跳板机
跳板机ip段与业务ip段分离