SSH w trybie bastionu¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo Enterprise, której celem jest monitorowanie połączeń SSH ze zdalnym serwerem.
Scenariusz zakłada, że użytkownik łącząc się ze zdalnym serwerem, wykorzystując protokół SSH uwierzytelnia się przed Fudo Enterprise używając własnego loginu i hasła (john_smith
/john
). Nawiązując połączenie, użytkownik wskazuje w treści loginu nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego. Połączenie realizowane jest za pośrednictwem portu numer 22, domyślnego dla protokołu SSH.
Fudo Enterprise zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na root
/password
(tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij i wybierz opcję Serwer statyczny.
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ssh_server |
Opis | |
Zablokowane | |
Protokół | SSH |
Starsze algorytmy kryptograficzne | |
Adres źródłowy | Dowolny |
Uprawnienia | |
Uprawnieni użytkownicy | |
Adresy serwerów | |
Adres IP | 192.168.0.100 |
Port | 22 |
- W sekcji Weryfikacja serwera wybierz Klucz publiczny serwera i wprowadź klucz w polu tekstowym lub kliknij , aby pobrać klucz.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | ssh_listener |
Zablokowane | |
Protokół | SSH |
Starsze algorytmy kryptograficzne | |
Nierozróżnianie wielkości liter | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Tryb połączenia | Bastion |
Adres lokalny | 10.0.150.151 |
Port | 22 |
Adres zewnętrzny | |
Port zewnętrzny |
- Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
Informacja
Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.
- Kliknij .
Informacja
Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu administracyjnego .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | admin_ssh_server |
Zablokowane | |
Typ | regular |
Nagrywanie sesji | wszystko |
Notatki | |
Retencja danych | |
Nadpisz globalne ustawienia retencji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | ssh_server |
Dane uwierzytelniające | |
Domena | |
Login | root |
Zastąp sekret | hasłem |
Hasło | password |
Powtórz hasło | password |
Polityka modyfikatora haseł | Statyczne, bez ograniczeń |
- Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ssh_safe |
Zablokowane | |
Powiadomienia | |
Powód logowania | |
Wymagaj potwierdzenia | |
Polityki | |
Note access | No access |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC |
- Przejdź na zakładkę Użytkownicy.
- Kliknij .
- Znajdź użytkownika john_smith i kliknij i.
- Kliknij .
- Przejdź na zakładkę Konta.
- Kliknij .
- Znajdź konto
admin_ssh_server
i kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania.
- Znajdź obiekt
ssh_listener
i kliknij i. - Kliknij .
- Kliknij .
Nawiązanie połączenia¶
PuTTY - klient SSH dla systemu operacyjnego Microsoft Windows
- Pobierz i uruchom PuTTY.
- W polu Host Name (or IP address) wprowadź adres
10.0.150.151
. - Określ typ połączenia
SSH
i pozostaw domyślny numer portu.
- Kliknij Open.
- Wprowadź nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego.
- Wprowadź hasło użytkownika.
Interfejs Wiersza polecenia
Uruchom terminal i wykonaj komendę używając podanego formatu:
ssh -l <fudo-user>#<server-user>#<server-address> <fudo-address>
Example:
ssh -l john_smith#root#192.168.0.110 10.0.150.151
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo Enterprise.
- Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu administracyjnego Fudo Enterprise.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: