《《实验一企业安全建设》实验指导书(模板).docx》由会员分享,可在线阅读,更多相关《《实验一企业安全建设》实验指导书(模板).docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息平安管理实验指导书(信息工程学院)实验一企业平安建设一、实验目的1、实验SSH登录的双因子验证。2、堡垒机安装。3、堡垒机的使用。二、实验环境OTP 服务器 centos 7. 5SSH 服务器 centos7. 5SSH客户端任意版本考前须知1、centos7设置时区sudo timedatectl set-timezone Asia/Shanghai 2centos? NTP服务器同步sudo timedatectl set-ntp yes3、关闭 selinuxsudo setenforce 0三、实验内容及实验步骤1、实验SSH登录的双因子验证(1) 装Google Authent
2、icator 的依赖环境sudo yum install -y epel-releasesudo yum install -y pam-devel qrencode mercurial(2) 安装 Google Authenticatorsudo yum -y install google-authenticator(3)生成动态口令文件执行命令google-authenticator输入五个y,依次表示美丽人生序号级刺一、1、(1)、;用户的认证文件信息平安管理实验指导书(信息工程学院)测试连接ssh -p2222 adminxxx. xxx. xxx.xxx sftp -P2222 adm
3、inxxx.xxx.xxx.xxx 密 码:admin如果是用在Windows下,Xshell Terminal登录语法如下$ ssh adminxxx. xxx. xxx.xxx 2222 $ sftp adminxxx. xxx. xxx.xxx 2222 密 码:admin3、堡垒机的使用(1)准备工作登录jumpserver服务器切换root用户sudo -i进Apy3环境source /opt/py3/bin/activate启jumpsever动服务 cd /opt/jumpserver./jms start all -d翻开所需的docker容器因为镜像中的容器IP地址发生改变,
4、所以参数不正常。这里要重新创立两个 容器。dock大家注意替换下面命令中的IP地址192. 168. 0. 11docker run -name jms_koko2 -d - p 2222:2222 -p 5000:5000 eC0RE_H0ST= :/192. 168. 0. 11:57046-eB00TSTRAP_T0KEN=360College360Col-eLOG JLEVEL=ERRORjumpserver/jms_koko:1. 5. 0docker run -name jms_guacamole2 -d -p 8081:8081 e JUMPSERVER_SERVER= :/19
5、2. 168. 0. 11:57046-eBOOTSTRAP TOKEN=360coHege360coi jumpserver/jms_guacamole:1. 5. 0docker start jms_guacamole检查容器是否启动docker ps -a启动nginx13信息平安管理实验指导书(信息工程学院)systemctl start nginxlnginx是否启动(实验环境中配置的是57047端口)ss-Intp | grep ”57047(2)登录Windows服务器,访问jumserver :/jumpserverip:57047用户名:admin 密码:360College
6、实验环境中,已经配置了双因子验证,要配合google令牌进行登录。请同学 按照提示进行绑定。先输入密码360Collegejumpserver继续点下一步,注意红框中密钥使用手机或android模拟器扫描二维码下载APP双因素令牌点击开始输入上面的密钥,点击添加后,动态口令就可以展示出来。将动态口令输入到WEB上。即可绑定 成功。再重新登录,用户名密码不变,(admin: 360Collegel)这时会要求输入动态口令,才能进入。在实验环境是中,大家已经理解MFA多因子验证。接下来,关闭其它用户的MFA 登录。(3)创立普通用户普通用户是登录jumpserver的用户。用户名360密码360c
7、oHege如图,这里 的MFA认证,即多因子验证,就像我们刚才的管理员使用手机APP生成动态口令 验证一样。(4)创立资产一管理用户管理用户是被管理服务器的root用户,可以在被管理服务器上远程执行脚本。 执行脚本依赖组件ansibleo这里为了便于区分,管理用户名、密码均为guanliyonghu(5)创立系统用户系统用户是被管理服务上,给运维人员使用的用户。可以手动创立,也可以 结合ansible推送,我们这里演示ansible推送。 系统用户是运维人员使用 的,可以将密码托管到堡垒机,防止记很多密码。注意红框的标记,取消自动生成密钥用户名密码均为xitongyonghu (这个密码不用告
8、诉运维人员)再建一个Windows下的系统用户(windows没有方法推送账号更新,必须手动 创立)我们这里选择手动登录,不托管密码14信息平安管理实验指导书(信息工程学院)(6)创立资产新建centos资产,注意IP与实验环境中一致新建Windows资产,注意IP与实验环境中一致(7)授权资产给用户(8)配置Centos服务器安装 ansible登录到环境中的centos服务器切换成root用户sudo -i 编辑文彳斗二 vim /etc/yum. repos, d/ansible加入以下内容epelname = all source for ansiblebaseurl = s:/mir
9、rors. aliyun. com/epel/7/x86_64/enabled = 1gpgcheck = 0ansible_name = all source for ansiblebaseurl = :/mirrors. aliyun. com/centos/7. 3. 1611/os/x86 64/enabled = 1gpgcheck = 0ansibleyum install ansible -y创立管理用户useradd guanliyonghuguanliyonghu 密码为 guanliyonghupasswd guanliyonghu给guanliyonghu 添加root
10、权限vim /etc/passwd修改用户和组ID为0,保存退出。15信息平安管理实验指导书(信息工程学院)(8) xitongyonghu给centos 服务器建立 xitongyonghu 点击 xitongyonghu推送用户,将会以guardiyonghu登录centos,仓犍xitongyonghu(9)测试配置使用windows登录,堡垒机,可以用火狐新开一个隐私窗口,同时登录管理员和 普通用户。 :/192.168. 0. 11:57047用户名360密码360CoHege如果是访问命令提示行,也可以使用ssh 9服务器2222端口。四、实验报告要求1、根据实验指导书和实验过程撰
11、写实验报告,并对实验过程和结果进行分析和总结。2、实验报告内容和数据真实,实验结果分析详细。16美丽人生序号级刺一、1、(1)、信息平安管理实验指导书(信息工程学院)17信息平安管理实验指导书(信息工程学院)18信息平安管理实验指导书(信息工程学院)是否允许重复使用口令设置允许的令牌误差时间,为4分钟置口令错误三次,防止暴力破解生成完文件后,会在当前用户的home路径下,生成一个隐藏 的. google_authenticator 文件,如下cat / google_authenticatorChailengeResponseAuthentication yesUsePAM yes #默认配置
12、(5)修改PAM配置文件sudo vi /etc/pam. d/sshd在第一行加入B4FUKKLCFZVV67QW2HVCZ3IJ34 RATE_LIMIT 3 30 WINDOW_SIZE 17 DISALLOW_REUSE TOTP_AUTII57879096 21581415 35639171 71429302 73061664(4)修改SSH配置文件 sudo vi /etc/ssh/sshd_config辑SSH配置文件,确保以下三行PasswordAuthentication yes导到手机APP里面的密钥错误尝试次数令牌误差重复使用基于时间TOTP五个紧急口令编#默认配置#需要
13、改authrequired pam_google_authenticator. so验证pam google authenticator. so文件是否存在,查找路径 sudo find / -name pam_google_authenticator. so信息平安管理实验指导书(信息工程学院)应该在/usr/lib64/security/pam_google_authenticator. so(6)重JBSSH服务sudo systemctl restart sshd(7)配置XSHELL登录新建连接,或修改现有连接依次点击属性一 连接一 用户身份验证一 方法,将方法修改为Keyboard
14、 Interactive连接登录。(8)手机安装APP安装APK后,导入/. google_authenticator文件的第一行内容。本实验中是,步骤三的B4FUKKLCFZVV67QW2HVCZ3LJ34APK在平台课程附件中有(9)登录测试SSH登录,先输入手机动态口令,再输入服务器登录密码如有其它问题,可以查询日志诊断2、堡垒机安装(1)安装所需软件切换root权限sudo -i安装依赖包yum -y install wget gcc epel-release git安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery brokeyum -y i
15、nstall redissystemctl enable redissystemctl start redis安装MySQL,如果不使用Mysql可以跳过相关Mysql安装和配置,支持sqlite3, mysql, postgres 等信息平安管理实验指导书(信息工程学院)yum -y install mariadb mariadb-devel mariadb-server mariadb-shared # centos7下叫 mariadb,用法与 mysql 一致systemctl enable mariadbsystemctl start mariadb(2)创立数据库Jumpserve
16、r并授权其中数据库用户名为jumpserver 360College为数据库密码mysql -uroot -e create database jumpserver default charset utf8,; grant all on jumpserver. * to jumpserver,127. 0. 0. 1 identified by J 360CollegeJ ; flush privileges;(3)安装Nginx,用作代理服务器整合Jumpserver与各个组件编辑文件vi /etc/yum. repos, d/nginx. repo加入以下内容nginxname=nginx
17、 repobaseurl= :/nginx. org/packages/centos/7/$basearch/gpgcheck=0enabled=l安装并设置开机启动nginxyum -y install nginxsystemctl enable nginx安装 Python3.6yum -y install python36 python36-devel配置并载入Python3虚拟环境cd /optpython3. 6 -m venv py3 # py3为虚拟环境名称,可自定义source /opt/py3/bin/activate # 退出虚拟环境可以使用 deactivate 命信息平
18、安管理实验指导书(信息工程学院)看到下面的提示符代表成功,以后运行Jumpserver都要先运行以上source 命令,载入环境后默认以下所有命令均在该虚拟环境中运行(py3) rootlocalhost py3下载 Jumpservercd /opt/git clone 一一depth=l s:/github. com/jumpserver/jumpserver.git安装依赖RPM包yum -y install $ (cat /opt/jumpserver/requirements/rpni_requirenients. txt)安装Python库依赖pip install -upgrad
19、e pip setuptoolspip install -r /opt/jumpserver/requirements/requirements. txt修改Jumpserver配置文件cd /opt/jumpservercp config_example. yml config. ymlvi config, yml注意以下配置项,注意:后面需要加空格# 加密秘钥生产环境中请修改为随机字符串,请勿外泄,PS:纯数字不可以SECRET_KEY:# 预共享Token koko和guacamole用来注册服务账号,不在使用原来的注册接受机 制B00TSTRAP_T0KEN:# DEBUG模式开启DE
20、BUG后遇到错误时可以看到更多日志DEBUG: false# 日志级别L0G_LEVEL: ERROR# LOG DIR:信息平安管理实验指导书(信息工程学院)浏览器Session过期时间,默认24小时,也可以设置浏览器关闭那么过期 SESSI0N_C00KIE_AGE: 86400SESSION_EXPIRE_AT_BROWSER_CLOSE: trueDatabase setting, Support sqlite3, mysql, postgres .# 数据库设置MySQL or postgres setting like:# 使用Mysql作为数据库DB_ENGINE: mysqlD
21、B_H0ST: 127.0. 0. 1DB PORT: 3306DBJUSER: jumpserverDB_PASSWORD:#这里设置前面生成的随机密码,或者大家自己修改的密码DBNAME: jumpserver运行时绑定端口 _BIND_HOST: 0.0. 0. 0 _LISTEN_PORT: 8080# Redis配置REDIS_HOST: 127. 0. 0. 1REDIS_PORT: 6379运行 Jumpserver cd /opt/jumpserver./jms start all -d # 后台运行使用 -d 参数./jms start all -d这时可以通过WEB访诃到J
22、UMPSERVER,但还有一些环境是没有安装。需要继续安装。 (4)安装 docker 部署 koko 与 guacamole信息平安管理实验指导书(信息工程学院)yum install -y yum-utils device-mapper-persistent-data lvm2yum-config-manager-add-repo :/mirrors. aliyun. com/docker-ce/1inux/centos/docker-ce. repoyum makecache fastrpm 一一import s:/mirrors. aliyun. com/docker-ce/1inux
23、/centos/gpgyum -y install docker-ce systemctl enable dockercurl -sSL s:/get. daocloud. io/daotools/set_mirror. sh | sh -s :/f1361db2. m. daocloud. iosystemctl restart docker配置docker网络,并启动注意替换 其中$server_ip替换为真实的服务器IP $BOOTSTRAP_TOKEN 为jumperserver配置文件中的密码docker run -name jms_koko -d -p 2222:2222 -p 5
24、000:5000 -eCORE_HOST= : /$Server_IP: 8080 -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKENe LOG_LEVEL=ERROR jumpserver/jms_koko:1. 5. 0docker run-namejms_guacamole -d -p 8081:8081 -eJUMPSERVER_SERVER= :/$Server_IP:8080-eB00TSTRAP_T0KEN=$B00TSTRAP_T0KEN jumpserver/jms_guacamole:1. 5. 0安装 Web Terminal 前端:Lunawget
25、s:/demo, jumpserver, org/download/luna/1. 5. 0/luna. tar.gztar xf luna. tar. gzchown -R root:root luna配置Nginx整合各组件rm -rf /etc/nginx/conf, d/default. confvi /etc/nginx/conf, d/jumpserver. conf创立新的配置文件vi /etc/nginx/conf d/jumpservere conf加入以下内容io信息平安管理实验指导书(信息工程学院)server listen 80;c 1 ient_max_body_si
26、ze 100m; #录像及文件上传大小限制location /luna/ try_files $uri / /index, html;alias /opt/luna/; # luna路径,如果修改安装目录,此处需要修改)location /media/ add_header Content-Encoding gzip;root /opt/jumpserver/data/; #录像位置,如果修改安装目录,此处 需要修改)location /static/ root /opt/jumpserver/data/; #静态资源,如果修改安装目录,此处 需要修改)location /socket, io
27、/ proxy_pass :/localhost:5000/socket, io/;proxy_buffering off;proxy version 1. 1; proxy_set_headerUpgrade $ _upgrade; proxy_set_headerConnection “upgrade”;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;access_log off;)l
28、ocation /coco/ proxy_pass :/localhost:5000/coco/;proxy_set_header X-Real-IP $remote_addr;11信息平安管理实验指导书(信息工程学院)proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;access_log off;)location /guacamole/ proxy_pass :/localhost:8081/;proxybuffering off;proxy version 1.
29、1; proxy_set_headerUpgrade $ _upgrade;proxy_set_header Connection $ _connection;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;access_log off;)location / proxy pass :/localhost:8080;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; )(5)运行 Nginxnginx -t#确保配置没有问题,有问题请先解决systemctl start nginx访问 :服务器IP (注意没有:8080通过nginx代理端口进行访问)默 认账号:admin密码:admin12