SSH w trybie bastionu

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń SSH ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łącząc się ze zdalnym serwerem, wykorzystując protokół SSH uwierzytelnia się przed Fudo PAM używając własnego loginu i hasła (john_smith/john). Nawiązując połączenie, użytkownik wskazuje konto admin_ssh_server i adres IP Fudo PAM. Połączenie realizowane jest za pośrednictwem portu numer 22, domyślnego dla protokołu SSH.

Fudo PAM zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na root/password (tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).

../../_images/quickstart_overview_ssh_bastion.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.

Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj i wybierz opcję Serwer statyczny.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Nazwa ssh_server
Zablokowane fail
Protokół SSH
Starsze algorytmy kryptograficzne fail
Opis fail
Uprawnienia  
Uprawnieni użytkownicy fail
Host docelowy  
Adres IP 10.0.150.1
Port 22
Adres źródłowy Dowolny
  1. Kliknij i, aby pobrać klucz publiczny SSH hosta docelowego lub wprowadź klucz w polu tekstowym.
../../_images/destination_host_ssh_bastion.png
  1. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_listener
Zablokowane fail
Protokół SSH
Starsze algorytmy kryptograficzne fail
Nierozróżnianie wielkości liter fail
Uprawnienia  
Uprawnieni użytkownicy fail
Tryb połączenia Bastion
Adres lokalny 10.0.150.151
Port 22
Adres zewnętrzny fail
Port zewnętrzny fail
  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
../../_images/fudo_quickstart_bastion.png

Informacja

Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.

  1. Kliknij Zapisz.

Informacja

Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu administracyjnego i.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa admin_ssh_server
Zablokowane fail
Typ regular
Nagrywanie sesji wszystko
Notatki fail
Retencja danych  
Nadpisz globalne ustawienia retencji fail
Usuń dane sesji po upływie 61 dni
Uprawnienia  
Uprawnieni użytkownicy fail
Serwer  
Serwer ssh_server
Dane uwierzytelniające  
Domena fail
Login admin
Zastąp sekret hasłem
Hasło password
Powtórz hasło password
Polityka modyfikatora haseł Statyczne, bez ograniczeń
  1. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_safe
Zablokowane fail
Powiadomienia fail
Powód logowania fail
Wymagaj potwierdzenia fail
Polityki fail
Note access No access
   
Funkcjonalność protokołów  
RDP fail
SSH ok
VNC fail
  1. Przejdź na zakładkę Użytkownicy.
  2. Kliknij Dodaj użytkownika.
  3. Znajdź użytkownika john_smith i kliknij i.
  4. Kliknij OK.
  5. Przejdź na zakładkę Konta.
  6. Kliknij Dodaj konto.
  7. Znajdź konto admin_ssh_server i kliknij i.
  8. Kliknij OK.
  9. Kliknij w kolumnie Gniazda nasłuchiwania.
  10. Znajdź obiekt ssh_listener i kliknij i.
  11. Kliknij OK.
  12. Kliknij Zapisz.

Nawiązanie połączenia

PuTTY - klient SSH dla systemu operacyjnego Microsoft Windows

  1. Pobierz i uruchom PuTTY.
  2. W polu Host Name (or IP address) wprowadź adres 10.0.150.151.
  3. Określ typ połączenia SSH i pozostaw domyślny numer portu.
../../_images/putty_bastion.png
  1. Kliknij Open.
  2. Wprowadź nazwę użytkownika wraz z nazwą konta, na serwerze docelowym.
../../_images/putty_bastion_login.png

Informacja

Alternatywnie, zamiast nazwy konta, możesz wskazać nazwę obiektu serwera tj. john_smith#ssh_server.

  1. Wprowadź hasło użytkownika.

Interfejs linii komend

Wykonaj komendę:

ssh john_smith#admin_ssh_server@10.0.150.151

Informacja

Ze względu na szczególną interpretację znaku \ przez niektóre powłoki systemowe (np. bash), w celu prawidłowego zinterpretowania nazwy użytkownika i domeny podczas nawiązywania połączenia, należy odpowiednio sformatować ciąg znaków:

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres 10.0.150.150.
  2. Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu administracyjnego Fudo PAM.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.

Tematy pokrewne: