אבטחת גישת שרת עם Gravitational Teleport

מדריכים

אבטחת גישה דרך SSH חיונית לשמירה על אתמולוגיית וביטחון תשתית השרתים. אם אתה מתמודד עם האבטחה של גישה לשרתים בצורה יעילה, אל תדאג. Gravitational Teleport זוכה להצלחה כפתרון מתקדם שממצה איך צוותים ניהלים ומחזקים את ביטחון SSH.

במדריך זה, תפתח את המרכיבים המורכבים של Teleport, שיתן לך את הכלים המרכזיים לשמירה על תשתית השרתים שלך. מניהול גישה חלקה עד לתכונות אבטחה חזקות, תחקור כיצד Teleport מאבטח את גישת השרת שלך.

לשלוט באבטחת השרת עם Gravitational Teleport ולחזק את התשתית שלך!

דרישות ראשוניות

  • להתחלה במדריך זה דורשות ידע ומשאבים בסיסיים מסוימים. ולכן, ודא שהדרישות המתוארות נעמדות כדי להתקדם במדריך זה:שני שרתי Linux: שרת אחד (מארח) משמש כשרת ה-Bastion, והשני משמש להגבלת גישת SSH עם Teleport – מדריך זה משתמש בשני מקרים של הפעלה

קשור:התקנת שרת Ubuntu 20.04: מדריך שלב אחרי שלב

  • תעבורת כניסת HTTPS מורשית לשרת המארח (ראה את מסמכי הענן של ספק השירותים שלך).

💡 שים לב: המדריך הזה משתמש במקרים של תצורות של מקרים של AWS EC2. השינויים הנדרשים מתבצעים בקבוצת אבטחה > כללי נכנים. ראה את תיעוד AWS על איך להגדיר כללי נכנים בקבוצת אבטחה.

  • A registered domain name with DNS A record pointing to your host server’s IP address.
  • A multi-factor authenticator app such as Authy, Google Authenticator, or Microsoft Authenticator.

קשור:כיצד להגדיר אימות רב-גורמי של AWS (AWS MFA)

התקנה והגדרת Gravitational Teleport על Ubuntu

עם ההגדרה של ה-DNS שלך במקום, עליך להפעיל את שרת ה-Ubuntu שלך עם תכונות אבטחה חזקות – Gravitational Teleport. כמו טירה עם שערים פתוחים רחבים, ללא התקנות האבטחה המתאימות, השרת שלך חשוף לגישה בלתי מורשית ולאיומים פוטנציאליים.

Gravitational Teleport מבטיח אבטחה חזקה, מאפשרת גישה רק לאנשים מורשים למבצר השרת שלך.

כדי להתקין ולהגדיר את Gravitational Teleport, בצע את השלבים הבאים:

1. התחבר ב-SSH לשרת המארח, הרץ את הפקודה הבאה כדי לעדכן את המאגר למנהל החבילות, ולהתקין את Teleport. הגרסה העדכנית היא 15.1.9 בזמן כתיבת זה, אך תמיד ניתן להסתכל על כל הגרסאות.

curl https://goteleport.com/static/install.sh | bash -s 15.1.9

תיאור: סדרה הלמידה הזו משתמשת במנהל הערכים (APT) המתקדם. אם סcriipt ההתקנה של Teleport לא פועל נכון, בואו ל מדריך ההתקנה הרשמי של Teleport עבור הוראות התקנה מותאמות למנהל הערכים שלך.

אחרי שהורדתם את הסק립ט העליון, צריך לקבל יוצאה דומה.

Installing Teleport on Ubuntu

2. אחרי ההתקנה, בואו וביצעו את הפקודה הבאה systemctl כדי לאשר את מצב status של שירות teleport. 

systemctl status teleport

כפי שמראה אחורה, היום השירות של Teleport אינו פעיל ומודע.

לפני שלבדק ויתחיל את השירות של Teleport, עליך להגדיר כמה הגדרות עבור אותו בשלבים הבאים.

Checking the Teleport service status

3. בהמשך, בואו וביצעו את הפקודה הבאה של teleport כדי לבצע את הדברים הבאים:

  • ייצרו קובץ הגדרות בשם /etc/teleport.yaml עבור Teleport. השירות הSystemd של Teleport, שנוצר בזמן ההתקנה, דורש קובץ זה כדי להתחיל את השירות.
  • ספציפי את כתובת הדואר האלה (של הדיוק, <YOUR_EMAIL>) עבור רשיון ACME וההתרעות. הדגל --acme אומר ל Teleport להשיג בעצם רשיונות מ Let’s Encrypt.

קשור:איך להקצות אתר עם aaPanel ו־LetsEncrypt

  • ציין את ה־Teleport --cluster-name, שבדרך כלל מיוצג על ידי כתובת ה־URL של שרת ה־proxy של Teleport (החלף את <YOUR_TELEPORT_PROXY_URL>).
sudo teleport configure -o /etc/teleport.yaml \--acme --acme-email=<YOUR_EMAIL> \--cluster-name=<YOUR_TELEPORT_PROXY_URL>

אם הוגדר בצורה נכונה, תראה את הפלט הבא במסוף.

Configuring Teleport

4. כעת, הפעל כל פקודה למטה כדי ל־הפעיל ו־להתחיל את שירות ה־Teleport.

אלה הפקודות אין להן פלט למסוף, אך תאמת את השינויים בשלב הבא. 

# הפעל את שירות ה־Teleport כך שיתחיל אוטומטית באישפוזsudo systemctl enable teleport# התחל את שירות ה־Teleportsudo systemctl start teleport

5. לבסוף, הריץ את הפקודה הבאה של systemctl כדי לאשר את המצב של שירות ה־Teleport. 

systemctl status teleport

הפלט למטה מאשר ששירות ה־Teleport פעיל ורץ, מה שמציין שניתן לגשת לממשק המשתמש ולבצע פעולות.

Verifying the Teleport service is active and running

הגדרת גישה לממשק ה־Web UI של Teleport ואישורי כוח מנהל

ה־Teleport פועל, אך איך תנהל באופן חלק גישה למשתמשים, מפעל ישיבות וניטור תשתיות השרת שלך? ניתן להתקשר עם Teleport מתוך דפדפן האינטרנט שלך עם ה־Web UI שלו, אך תחילה עליך להגדיר את גישת ה־Web UI ואת פרטי המשתמש המנהל.

כדי להגדיר גישת ה־Web UI של Teleport ופרטי המשתמש המנהל, עקוב אחר השלבים הבאים:

1. בקר בכתובת ה-URL של ה-Proxy של Teleport שהוגדר בשלב שלוש של המדריך "התקנה והגדרת Gravitational Teleport על Ubuntu" (כלומר, https://teleport.example.com).

אם הצלחתם, תקבלו את עמוד ההתחברות של Teleport כפי שמופיע למטה. לצערנו, עדיין אי אפשר להתחבר. עליכם להגדיר משתמש מנהל ואימות דו גורמי (שלב שני).

Accessing the Teleport sign-in page

2. בשרת המארח שלכם, הריצו את כלי ה-CLI של Teleport הבא (tctl) כדי לבצע את הפעולות הבאות:

  • יצירת (add) משתמש מנהל של Teleport מוקדש.
  • אפשרו למשתמש מנהל להתחבר לשרתי SSH עם ההתחברויות המיועדות: root, ec2-user, ו-ubuntu.
  • הקצו את התפקידים, access ו-editor, למשתמש המנהל. 
sudo tctl users add admin --roles=access,editor --logins=root,ec2-user,ubuntu

לאחר הוספתו, העתיקו את קישור ההזמנה שנוצר מהפלט המציין הצלחת הוספת משתמש מנהל.

Creating a dedicated Teleport admin user

3. נווטו לקישור ההזמנה שהעתקתם בשלב שלוש ללשונית חדשה בדפדפן, ולאחר מכן לחצו על התחילו בדף הברכה כפי שמופיע למטה. פעולה זו מאפשרת לכם להתחיל בהגדרת המשתמש המנהל.

Accessing the Teleport sign-in page

4. לאחר מכן, ציינו ואשרו סיסמה חזקה עבור המשתמש המנהל, ולחצו על הבא כדי להמשיך.

Setting the admin password

5. פתחו את אפליקציית האימות, סרקו את קוד ה-QR, הקלידו את קוד ה-האימות הנוצר בשדה הנדרש, ולחצו על שלח.

תהליך זה מאפשר לכם להגדיר אימות דו גורמי על ההתקן שלכם לשכבת אבטחה נוספת.

Setting up two-factor authentication

עבורו אל האשכול כעת כדי לגשת לחשבון הטלפורט שלך.

Accessing the Teleport dashboard

הדפדפן שלך מופנה ללוח המחוונים של טלפורט כמו זה שמציג את שרת המארח שלך בו רץ טלפורט. שים לב שהשרת המארח שלך הוא המשאב היחידי הזמין כרגע שמטופל על ידי טלפורט.

Overviewing the Teleport dashboard

הוספת וניהול משאבים עם טלפורט

כעת יש לך גישה ללוח המחוונים שלך בטלפורט, שבו יש רק משאב אחד זמין. אך פלטפורמה מרכזית מבליטה אמיתית כאשר תוכל לנהל משאבים מרובים בתוכה.

עם יכולות ניהול משאבים חזקות של טלפורט, תוכל להכניס בקלות שרתים נוספים, מסדי נתונים או רכיבי תשתיות אחרים, הכול מממשק יחיד.

כדי לנהל משאבים עם טלפורט, עקוב אחר השלבים הבאים:

1. בלוח המחוונים של טלפורט, לחץ על הרשם למשאב חדש (בצד ימין למעלה) כדי להתחיל להרשים משאב חדש.

Enrolling a new resource

2. בחר אחד מתוך המגוון הרחב של משאבים שתוכל להוסיף בעתיד לגישה מאובטחת באמצעות טלפורט. בחירת המדריך הזה היא שרת Ubuntu 14.04+, כפי שמצויין למטה.

Selecting a resource to add for access management

3. העתק את הפקודה שנוצרה על ידי טלפורט, אותה תריץ בשלב הבא.

Copying the generated command

4. כעת, פתח טרמינל בשרת השני שלך והרץ את הפקודה שהעתקת בשלב השלישי כדי להוסיף את השרת לניהול גישה.

אם הצלחת, תראה פלט כמו בתמונת המסך למטה.

Adding a second server to Teleport

5. לאחר הוספת המשאב, לחץ על הבא והשלם את ההוראות המשואבות על ידי לחיצה על הבא ועל סיום.

Proceeding with configuring the new resource

6. לבסוף, נווטו אל לוח המחוונים שלכם בטליפורט, ותראו את המופע שהוספתם לאחרונה, כפי שמודגש למטה.

Confirming the new Teleport instance is successfully added

מסקנה

הנה, התקנתם והגדרתם בהצלחה את גרביטיישנל טליפורט, הגדרתם את ממשק המשתמש האינטרנטי של טליפורט, והקמתם כתובות ניהול. במהלך המדריך הזה, רכשתם תובנה יקרה למניעת גישה לשרת ולניהולה ביעילות!

עכשיו, מדוע לא להגביר את הידע החדש שרכשתם קצת? התקינו את ממשק השורת פקודה של טליפורט (tsh) במיוחד על המכונה המקומית שלכם והתחברו לשרת טליפורט שלכם באמצעות שורת פקודה במקום דרך ממשק המשתמש האינטרנטי.

יישום ניהול גישה עבור משאבים נוספים כמו אשכולות Kubernetes ועוד רבים!

Source:
https://adamtheautomator.com/gravitational-teleport/