开源堡垒机各自特点分析

原文地址：https://blog.51cto.com/9346709/2287681

作用：

堡垒机综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒机的翻译。

使用目的：

权限分发，审计定责

目前流行堡垒机：

商业：绿盟、行云管家、 科友、齐治、金万维、极地、派拉
开源：jumpserver、teleport、CrazyEye、×××

开源堡垒机简介

jumpserver：github上开源堡垒机，可以购买商业技术支持。http://www.jumpserver.org/
teleport：github上开源堡垒机，没有商业版。https://tp4a.com/
CrazyEye：个人制作的堡垒机，没有官网，也鲜有资料。
麒麟堡垒机：开源版只支持一部分功能，剩下的功能需要购买。http://www.tosec.com.cn/

jumpserver和teleport对比：

序号	teleport	jumpserver
1	安装简单，部署容易	安装复杂，涉及python3.6，需要调整与yum的冲突项，需要人工调整部分参数
2	只能使用自动登录方式，分权前需要配置好账号和密码，点击即登录，不需要人工输入密码	可以使用自动登录和手动登录两种，手动登录是指在通过堡垒机连接上服务器之后，再输入密码
3	自带sftp上传工具，双击即上传	需要通过软件上传到堡垒机所在服务器，再下发到主机，比较麻烦
4	不带有ansible，无法自动收集服务器的信息	带有ansible，可以自动获取服务器的信息，目前已知可以收集Linux服务器数据，暂不知道是否可以收集Windows的数据信息
5	可以选择使用xshell或putty或CRT等终端进行连接	默认使用网页终端，暂时不知道是否可以启用第三方终端软件
6	使用RDP协议对Windows服务器进行连接，不需要在堡垒机安装额外软件，只需要在服务器端修改一个配置	Windows默认无法使用，需要堡垒机上安装一个镜像包才能使用，同时要求堡垒机运行在CentOS7上
7	目前测试强制断开终端均成功	测试发现，偶尔出现无法中断情况，需多次点击
8	登录堡垒机暂时只支持本地认证	可以使用LDAP进行登陆认证
9	使用者需要在电脑安装一个体量很小的软件	不需要在客户机安装任何软件，因为使用网页控制服务器
10	无商用版本，可以给开发者进行捐赠	有商业版本，可以购买技术支持
11	并发量未知	并发量未知

界面：

teleport：

image.png

image.png

jumpserver：

image.png

image.png

image.png