CN109714345B - 一种用户无感知的字符堡垒机方法及系统 - Google Patents
一种用户无感知的字符堡垒机方法及系统 Download PDFInfo
- Publication number
- CN109714345B CN109714345B CN201811623890.6A CN201811623890A CN109714345B CN 109714345 B CN109714345 B CN 109714345B CN 201811623890 A CN201811623890 A CN 201811623890A CN 109714345 B CN109714345 B CN 109714345B
- Authority
- CN
- China
- Prior art keywords
- user
- maintenance equipment
- character
- actual operation
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种用户无感知的字符堡垒机方法及系统,方法包括以下步骤:步骤1,用户验证登陆客户端并获取可访问的运维设备列表信息;步骤2,用户选定实际运维设备并输入用户名和密码连接实际运维设备;步骤3,桶WFP驱动判断该实际运维设备是否在监管平台的设备列表中;是则,重定向到代理服务器;步骤4,用户连接代理服务器的ssh连接服务,并发送选定运维设备的连接信息给代理服务器;步骤5,代理服务器获取用户名以及密码,并获取该实际运维设备的IP信息,步骤6,字符审计模块连接实际运维设备;步骤7,字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。本发明对用户的运维操作进行无感知的审计及权限控制。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用户无感知的字符堡垒机方法及系统。
背景技术
SSH网络安全访问协议是市面上堡垒机系统必备的一个功能,目前大部分的堡垒机系统都需要托管实际运维设备用户名密码来实现连接实际运维设备,然后通过Web界面访问实际运维设备,或者需由跳转设备连接实际运维设备。在用户的使用过程中,与非使用堡垒机进行ssh访问时明显增加了一定的步骤。如何让用户直接用ssh客户端访问实际运维设备,又可以保持堡垒机所具有的SSH访问控制和审计的功能成为了技术人员的研究方向。
发明内容
本发明的目的在于提供一种用户无感知的字符堡垒机方法及系统。
本发明采用的技术方案是:
一种用户无感知的字符堡垒机方法,其包括以下步骤:
步骤1,用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息;
步骤2,用户选定实际运维设备,并输入用户名和密码连接实际运维设备;
步骤3,客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中;是则,在重定向层中重定向tcp连接到代理服务器并执行步骤4;否则,由客户端提示无权登录选定实际运维设备;
步骤4,用户连接代理服务器的配置好的ssh连接服务,并发送选定运维设备的连接信息给代理服务器;代理服务器配置为允许任何用户名及密码登录并成功连接ssh连接,
步骤5,ssh连接成功后,代理服务器获取用户名以及密码,并调用bash程序获取用户通过客户端发送的连接信息,并判断获取该实际运维设备的IP信息,
步骤6,bash程序整合获取实际运维设备的IP信息、用户名和密码,并调用字符审计模块使用整合后的信息连接实际运维设备;
步骤7,字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。
进一步的,步骤1中用户使用crt客户端。
进一步的,步骤4中代理服务器采用linux系统,并通过修改linux系统的nsswitch.conf文件,允许通过任何用户名及密码登录并成功连接ssh。
进一步的,步骤5中修改代理服务器的PAM模块,并通过PAM模块获取用户输入的用户名以及密码。
进一步的,步骤5中IP信息包括IP及IP端口。
一种用户无感知的字符堡垒机方法,其包括客户端、监管平台、代理服务器和实际运维设备;客户端分别与监管平台、代理服务器和实际运维设备通信连接,监管平台上预设有可访问的运维设备列表信息,客户端用于用户的登录访问并与选定的实际运维设备建立访问连接,代理服务器上设有ssh连接服务、bash程序和字符审计模块,代理服务器配置为允许任何用户名及密码登录成功并连接ssh,代理服务器还配置为可获取该用户名及密码,bash程序用于获取用户通过客户端发送的连接信息并判断获取该实际运维设备的IP信息,字符审计模块用于与实际运维设备的代理连接并审计录制用户经由该代理连接发往实际运维设备的字符操作。
进一步的,所述客户端为crt客户端。
进一步的,当用户选定的实际运维设备在监管平台下发的设备列表内时,客户端通过代理服务器与实际运维设备连接。
进一步的,代理服务器采用linux系统,且该linux系统的nsswitch.conf文件被配置为允许通过任何用户名及密码登录并成功连接ssh。
进一步的,该linux系统的PAM模块被配置为可获取用户输入的用户名以及密码。
本发明采用以上技术方案,通过利用WFP拦截网络数据的技术,将用户访问实际运维设备的流量重定向到代理服务器,代理服务器通过修改后系统的nss和PAM的配置,使用户连接上代理服务器的ssh服务器,并获取到用户连接实际运维设备的ip地址,ssh端口号,用户名以及密码等信息,之后经过字符审计模块连接实际运维设备完成ssh连接。最后由字符审计模块实现对用户操作运维设备的SSH行为进行无感知的审计及权限控制。本发明简化堡垒机的配置,不需要事先托管实际运维设备的用户名密码,即可直接登录运维设备,不需要经过中间跳转。本发明的在整个过程中堡垒机对于用户来说是透明的,虽然整个ssh连接中间经过了堡垒机,但用户在使用过程中和未使用堡垒机登录设备的体验是一样的。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种用户无感知的字符堡垒机方法的流程示意图;
图2为本发明一种用户无感知的字符堡垒机系统的结构示意图。
具体实施方式
如图1或2所示,本发明公开了一种用户无感知的字符堡垒机方法,其包括客户端、监管平台、代理服务器和实际运维设备;客户端分别与监管平台、代理服务器和实际运维设备通信连接,监管平台上预设有可访问的运维设备列表信息,客户端用于用户的登录访问并与选定的实际运维设备建立访问连接,代理服务器上设有ssh连接服务、bash程序和字符审计模块,代理服务器配置为允许任何用户名及密码登录成功并连接ssh,代理服务器还配置为可获取该用户名及密码,bash程序用于获取用户通过客户端发送的连接信息并判断获取该实际运维设备的IP信息,字符审计模块用于与实际运维设备的代理连接并审计录制用户经由该代理连接发往实际运维设备的字符操作。
进一步的,所述客户端为crt客户端。
进一步的,当用户选定的实际运维设备在监管平台下发的设备列表内时,客户端通过代理服务器与实际运维设备连接。
进一步的,代理服务器采用linux系统,且该linux系统的nsswitch.conf文件被配置为允许通过任何用户名及密码登录并成功连接ssh。
进一步的,该linux系统的PAM模块被配置为可获取用户输入的用户名以及密码。
本发明还公开了一种用户无感知的字符堡垒机方法,其包括以下步骤:
步骤1,用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息;
步骤2,用户选定实际运维设备,并输入用户名和密码连接实际运维设备;
步骤3,客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中;是则,在重定向层中重定向tcp连接到代理服务器并执行步骤4;否则,由客户端提示无权登录选定实际运维设备;
步骤4,用户连接代理服务器的配置好的ssh连接服务,并发送选定运维设备的连接信息给代理服务器;代理服务器配置为允许任何用户名及密码登录并成功连接ssh,
步骤5,ssh连接成功后,代理服务器获取用户名以及密码,并调用bash程序获取用户通过客户端发送的连接信息,并判断获取该实际运维设备的IP信息,
步骤6,bash程序整合获取实际运维设备的IP信息、用户名和密码,并调用字符审计模块使用整合后的信息连接实际运维设备;
步骤7,字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。
进一步的,步骤1中用户使用crt客户端。
进一步的,步骤4中代理服务器采用linux系统,并通过修改linux系统的nsswitch.conf文件,允许通过任何用户名及密码登录并成功连接ssh。
进一步的,步骤5中修改代理服务器的PAM模块,并通过PAM模块获取用户输入的用户名以及密码。
进一步的,步骤5中IP信息包括IP及IP端口。
本发明采用以上技术方案,通过利用WFP拦截网络数据的技术,将用户访问实际运维设备的流量重定向到代理服务器,代理服务器通过修改后系统的nss和PAM的配置,使用户连接上代理服务器的ssh服务器,并获取到用户连接实际运维设备的ip地址,ssh端口号,用户名以及密码等信息,之后经过字符审计模块连接实际运维设备完成ssh连接;最后由字符审计模块实现对用户操作运维设备的SSH行为进行无感知的审计及权限控制。本发明简化堡垒机的配置,不需要事先托管实际运维设备的用户名密码,即可直接登录运维设备,不需要经过中间跳转。本发明的在整个过程中堡垒机对于用户来说是透明的,虽然整个ssh连接中间经过了堡垒机,但用户在使用过程中和未使用堡垒机登录设备的体验是一样的。
Claims (10)
1.一种用户无感知的字符堡垒机方法,采用的系统包括客户端、监管平台、代理服务器和实际运维设备;客户端分别与监管平台、代理服务器和实际运维设备通信连接,监管平台上预设有可访问的运维设备列表信息,代理服务器上设有ssh连接服务、bash程序和字符审计模块,其特征在于:方法包括以下步骤:
步骤1,用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息;
步骤2,用户选定实际运维设备,并输入用户名和密码连接实际运维设备;
步骤3,客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中;是则,在重定向层中重定向tcp连接到代理服务器并执行步骤4;否则,由客户端提示无权登录选定实际运维设备;
步骤4,用户连接代理服务器的配置好的ssh连接服务,并发送选定运维设备的连接信息给代理服务器;代理服务器配置为允许任何用户名及密码登录并成功连接ssh连接,
步骤5,ssh连接成功后,代理服务器获取用户名以及密码,并调用bash程序获取用户通过客户端发送的连接信息,并判断获取该实际运维设备的IP信息,
步骤6,bash程序整合获取实际运维设备的IP信息、用户名和密码,并调用字符审计模块使用整合后的信息连接实际运维设备;
步骤7,字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。
2.根据权利要求1所述的一种用户无感知的字符堡垒机方法,其特征在于:步骤1中用户使用crt客户端。
3.根据权利要求1所述的一种用户无感知的字符堡垒机方法,其特征在于:步骤4中代理服务器采用linux系统,并通过修改linux系统的nsswitch.conf文件,允许通过任何用户名及密码登录并成功连接ssh。
4.根据权利要求3所述的一种用户无感知的字符堡垒机方法,其特征在于:步骤5中修改代理服务器的PAM模块,并通过PAM模块获取用户输入的用户名以及密码。
5.根据权利要求1所述的一种用户无感知的字符堡垒机方法,其特征在于:步骤5中IP信息包括IP及IP端口。
6.一种用户无感知的字符堡垒机系统,其特征在于:其包括客户端、监管平台、代理服务器和实际运维设备;客户端分别与监管平台、代理服务器和实际运维设备通信连接,监管平台上预设有可访问的运维设备列表信息,客户端用于用户的登录访问并与选定的实际运维设备建立访问连接,代理服务器上设有ssh连接服务、bash程序和字符审计模块,代理服务器配置为允许任何用户名及密码登录成功并连接ssh,代理服务器还配置为可获取该用户名及密码,bash程序用于获取用户通过客户端发送的连接信息并判断获取该实际运维设备的IP信息,字符审计模块用于与实际运维设备的代理连接并审计录制用户经由该代理连接发往实际运维设备的字符操作。
7.根据权利要求6所述的一种用户无感知的字符堡垒机系统,其特征在于:所述客户端为crt客户端。
8.根据权利要求6所述的一种用户无感知的字符堡垒机系统,其特征在于:当用户选定的实际运维设备在监管平台下发的设备列表内时,客户端通过代理服务器与实际运维设备连接。
9.根据权利要求6所述的一种用户无感知的字符堡垒机系统,其特征在于:所述代理服务器采用linux系统,且该linux系统的nsswitch.conf文件被配置为允许通过任何用户名及密码登录并成功连接ssh。
10.根据权利要求9所述的一种用户无感知的字符堡垒机系统,其特征在于:所述linux系统的PAM模块被配置为可获取用户输入的用户名以及密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623890.6A CN109714345B (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的字符堡垒机方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623890.6A CN109714345B (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的字符堡垒机方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109714345A CN109714345A (zh) | 2019-05-03 |
| CN109714345B true CN109714345B (zh) | 2021-05-14 |
Family
ID=66259137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811623890.6A Active CN109714345B (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的字符堡垒机方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109714345B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110737886A (zh) * | 2019-09-23 | 2020-01-31 | 广州海颐信息安全技术有限公司 | 基于本地客户端工具进行特权运维活动的方法及装置 |
| CN114301799A (zh) * | 2021-11-23 | 2022-04-08 | 航天信息股份有限公司 | 基于ganymed-ssh2的远程运维方法和装置 |
| CN114615254B (zh) * | 2022-03-25 | 2023-09-29 | 医渡云(北京)技术有限公司 | 远程连接方法、装置及系统、存储介质、电子设备 |
| CN114756530B (zh) * | 2022-06-15 | 2022-08-19 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103237061A (zh) * | 2013-04-07 | 2013-08-07 | 德讯科技股份有限公司 | 一种字符终端rlogin协议安全访问系统及方法 |
| CN104135389A (zh) * | 2014-08-14 | 2014-11-05 | 华北电力大学句容研究中心 | 一种基于代理技术的ssh协议运维审计系统及方法 |
| CN105704091A (zh) * | 2014-11-25 | 2016-06-22 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9806741B1 (en) * | 2016-10-10 | 2017-10-31 | International Business Machines Corporation | Character conversion |
-
2018
- 2018-12-28 CN CN201811623890.6A patent/CN109714345B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103237061A (zh) * | 2013-04-07 | 2013-08-07 | 德讯科技股份有限公司 | 一种字符终端rlogin协议安全访问系统及方法 |
| CN104135389A (zh) * | 2014-08-14 | 2014-11-05 | 华北电力大学句容研究中心 | 一种基于代理技术的ssh协议运维审计系统及方法 |
| CN105704091A (zh) * | 2014-11-25 | 2016-06-22 | 中国科学院声学研究所 | 一种基于ssh协议的会话解析方法及系统 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109714345A (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109714345B (zh) | 一种用户无感知的字符堡垒机方法及系统 | |
| CN101990183B (zh) | 保护用户信息的方法、装置及系统 | |
| CN100535808C (zh) | 用于安全远程访问的设备 | |
| US7310663B2 (en) | Initiation module for initiating network-based services | |
| US9246979B2 (en) | Method and system for providing secure remote access and control | |
| US5550981A (en) | Dynamic binding of network identities to locally-meaningful identities in computer networks | |
| US8949936B2 (en) | Hosted network device user interface | |
| US20170041432A1 (en) | Router-host logging | |
| US20020112186A1 (en) | Authentication and authorization for access to remote production devices | |
| US7454794B1 (en) | Access control method | |
| US20050080897A1 (en) | Remote management utility | |
| CN108710528A (zh) | 桌面云虚拟机的访问、控制方法、装置、设备及存储介质 | |
| CN105577662B (zh) | 终端环境安全控制方法及服务器 | |
| CN111614673A (zh) | 一种基于cas的权限认证系统的工作方法 | |
| CN104767900B (zh) | 信息处理装置及信息处理方法 | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| CN105959276A (zh) | 基于第三方账号登录的应用程序控制方法、装置及终端设备 | |
| CN104539422B (zh) | 一种应用客户端鉴权控制的方法、服务器和终端 | |
| CN109819053B (zh) | 应用于混合云环境下的跳板机系统及其控制方法 | |
| CN112800411A (zh) | 支持多协议、多方式的安全可靠身份认证方法及装置 | |
| CN106331003B (zh) | 一种云桌面上应用门户系统的访问方法及装置 | |
| CN104753960B (zh) | 一种基于单点登录的系统配置管理方法 | |
| CN112910904B (zh) | 多业务系统的登录方法及装置 | |
| EP2320622B1 (en) | Report form normalization processing method, apparatus and system | |
| CN110313003A (zh) | 认证管理方法以及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |