适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质与流程

1.本发明涉及通信技术领域，具体地，公开了一种适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质。


背景技术：

2.堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
3.为了加强信息系统的运维操作和审查管理而提出堡垒机，用于实现主机运维和应用运维。而堡垒机作为跳板批量操作远程设备的网络设备，是系统管理管理员和运维人员操作的操作平台之一。现在市场上，已经有多家云安全厂家提出各种了使用堡垒机的应用运维解决方案，以实现应用的远程访问。
4.但是目前的运维堡垒机一般需要加载大量的模块，由于运维堡垒机是连接前、后端的唯一途径，因此会成为被攻击的重要目标，使得堡垒机被攻击的风险加大。除此之外，通过堡垒机能同时对多个应用程序进行维护，存在运维路径复杂和运维权限混乱的缺陷，可能会出现权限账号泄露的问题，从而使得运维权限管理的存在较大安全风险。另外，目前的运维堡垒机在管理种类较多或数量规模较大的设备时，配置和部署都会变得很复杂，存在部署费时等缺点，不利于用户使用。


技术实现要素：

5.针对现有技术中存在的上述缺陷，本发明提供一种适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质。
6.本技术的第一方面提供了一种适用于堡垒机的一体化权限管理方法，该种方法具体包括：
7.在接收到用户权限请求的情况下，向对应的网络节点中的主控堡垒机发送第一总控指令；和/或
8.在接收到机器监控请求的情况下，向对应的网络节点中的主控堡垒机发送第二总控指令；和/或
9.在接收到运营维护请求的情况下，向对应的网络节点中的主控堡垒机发送第三总控指令；
10.根据接收到的第一总控指令，主控堡垒机向网络节点中对应的部署机器下发对应的用户权限更新指令；
11.根据接收到的第二总控指令，主控堡垒机向网络节点中的全部部署机器部署对应的监控代理程序；
12.根据接收到的第三总控指令，主控堡垒机向网络节点中的至少一部分部署机器执
行运营维护监控。
13.在上述第一方面的一种可能的实现中，在任意主控堡垒机处于无法正常工作的情况下，根据预先设置的配置文件，选择网络节点中的部署机器进行配置，以作为更新的主控堡垒机。
14.在上述第一方面的一种可能的实现中，用户权限请求包括对网络节点中对应的部署机器的访问请求和/或指令执行请求；
15.在用户权限请求包括访问请求的情况下，主控堡垒机向部署机器下发第一更新指令，部署机器根据第一更新指令允许对应的用户的访问操纵；
16.在用户权限请求包括指令执行请求的情况下，主控堡垒机向部署机器下发第二更新指令，部署机器根据第二更新指令接收对应的用户指令并执行对应的指令动作。
17.在上述第一方面的一种可能的实现中，主控堡垒机的部署过程包括：
18.同步配置工具脚本；
19.写入预设的可执行任务清单以及预设的部署环境配置；
20.配置安全访问形式，安全访问形式不包括密码认证形式。
21.在上述第一方面的一种可能的实现中，根据接收到的第一扩展指令，向主控堡垒机执行可执行任务清单的更新；
22.根据接收到的第二扩展指令，向主控堡垒机执行部署环境配置的更新。
23.在上述第一方面的一种可能的实现中，在对于任意一个网络节点的主控堡垒机进行配置更新的情况下，将配置更新对应的更新内容同步至全部网络节点对应的主控堡垒机。
24.本技术的第二方面提供了一种适用于堡垒机的一体化权限管理系统，应用于前述第一方面提供的适用于堡垒机的一体化权限管理方法中，包括：
25.总控堡垒机；
26.若干主控堡垒机，每个主控堡垒机对应一个网络节点并与总控堡垒机相连接；
27.其中：
28.总控堡垒机在接收到用户权限请求的情况下，向对应的网络节点中的主控堡垒机发送第一总控指令；和/或
29.在接收到机器监控请求的情况下，向对应的网络节点中的主控堡垒机发送第二总控指令；和/或
30.在接收到运营维护请求的情况下，向对应的网络节点中的主控堡垒机发送第三总控指令；
31.主控堡垒机根据接收到的第一总控指令，向网络节点中对应的部署机器下发对应的用户权限更新指令；
32.主控堡垒机根据接收到的第二总控指令，向网络节点中的全部部署机器部署对应的监控代理程序；
33.主控堡垒机根据接收到的第三总控指令，主控堡垒机向网络节点中的至少一部分部署机器执行运营维护监控。
34.在上述第二方面的一种可能的实现中，在任意主控堡垒机处于无法正常工作的情况下，总控堡垒机根据预先设置的配置文件，选择网络节点中的部署机器进行配置，以作为
更新的主控堡垒机。
35.本技术的第三方面提供了一种电子设备，包括：存储器，存储器用于存储处理程序；处理器，处理器执行处理程序时实现前述第一方面所提供的适用于堡垒机的一体化权限管理方法。
36.本技术的第三方面提供了一种计算机可读存储介质，该种计算机可读存储介质上存储有处理程序，处理程序被处理器执行时实现前述第二方面所提供的适用于堡垒机的一体化权限管理方法。
37.与现有技术相比，本技术具有如下的有益效果：
38.通过本技术提出的技术方案，将所有的任务抽象为总控调度某个区域节点中的主控堡垒机进行任务的下发或是执行，从而实现了对于单个网络节点中各个部署机器的一体化权限管理，无论网络节点中的部署机器如何扩展或是网络节点的数量如何扩展，均可以通过简单的同步配置来适应于网络节点的可拓展环境，具有可推广价值。
附图说明
39.通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
40.图1根据本技术实施例，示出了一种一体化权限管理方法的流程示意图。
41.图2根据本技术实施例，示出了一种一体化权限管理系统的流程示意图。
具体实施方式
42.下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。
43.为了解决现有技术中运维堡垒机在管理种类较多或数量规模较大的设备时，配置和部署都会变得很复杂，存在部署费时等缺点，不利于用户使用且安全性不高的问题，本技术提出了一种适用于堡垒机的一体化权限管理方法、系统、电子设备和可读存储介质。通过该种一体化权限管理方法，能够在每个网络节点中设置分工不同的堡垒机并由总控堡垒机对其进行统一配置和管控，能够提高设置有该种一体化权限管理方法的网络结构的可扩展性，在降低运营维护的难度的同时，提高运营维护的效率，降低了运营维护的成本，具有可推广价值。
44.具体地，图1根据本技术的一些实施例，示出了在本技术的第一方面提供了一种一体化权限管理方法，该种一体化权限管理方法具体包括：
45.步骤101a：在接收到用户权限请求的情况下，向对应的网络节点中的主控堡垒机发送第一总控指令，而后转向步骤201a。
46.步骤101b：在接收到机器监控请求的情况下，向对应的网络节点中的主控堡垒机发送第二总控指令，而后转向步骤201b。
47.步骤101c：在接收到运营维护请求的情况下，向对应的网络节点中的主控堡垒机发送第三总控指令，而后转向步骤201c。
48.步骤201a：根据接收到的第一总控指令，主控堡垒机向网络节点中对应的部署机器下发对应的用户权限更新指令。
49.步骤201b：根据接收到的第二总控指令，主控堡垒机向网络节点中的全部部署机器部署对应的监控代理程序。
50.步骤201c：根据接收到的第三总控指令，主控堡垒机向网络节点中的至少一部分部署机器执行运营维护监控。
51.其中，上述步骤101a至步骤101c的执行顺序并不限定。
52.在本技术的一些实施例中，在任意主控堡垒机处于无法正常工作的情况下，根据预先设置的配置文件，选择网络节点中的部署机器进行配置，以作为更新的主控堡垒机。
53.在本技术的一些实施例中，用户权限请求包括对网络节点中对应的部署机器的访问请求和/或指令执行请求；
54.在用户权限请求包括访问请求的情况下，主控堡垒机向部署机器下发第一更新指令，部署机器根据第一更新指令允许对应的用户的访问操纵；
55.在用户权限请求包括指令执行请求的情况下，主控堡垒机向部署机器下发第二更新指令，部署机器根据第二更新指令接收对应的用户指令并执行对应的指令动作。
56.进一步地，在本技术的一些具体实施例中，在用户通过注册激活进入部署有本技术提出的一体化权利管理系统的网络结构中时，可以通过总控堡垒机向这些用户下发允许其登录每个网络节点的普通账号权限。具体地，在每个网络节点中可以设置有对应的访问堡垒机，用户在通过注册激活过程后，可以接收到由总控堡垒机下发的ssh私钥，通过该ssh私钥能够通过访问堡垒机的访问鉴权以实现对对于访问堡垒机的登录，也就是说，访问堡垒机对于任何非管理员的普通用户而言来说，都是只有普通权限，其主要功能是作为一个进入网络节点内网的入口机器。
57.于上述具体实施例中，若用户需要申请进一步的访问或使用权限，则可以总控堡垒机进行相应的权限申请。例如，用户可以通过网络平台向总控堡垒机提交某个主机，例如可以是store-10.0.0.1-hangzhou主机的sudo权限，sudo权限的申请使用时长是7天。其中，sudo是linux系统管理指令，是允许系统管理员让普通用户执行一些或者全部root命令的一个工具。在linux系统下，为了安全，一般来说我们操作都是在普通用户下操作，但是有时候普通用户需要使用root权限，比如在安装软件的时候，这个时候如果我们切回root用户下效率就会比较低，所以具有sudo权限即可使用更为便捷的sudo指令。
58.于上述具体实施例中，当接收到用户有关store-10.0.0.1-hangzhou主机的sudo权限申请时，运维管理角色账号可以给予权限审核，并在权限审核通过后予以审批通过，此时该种一体化权限管理系统的内部的执行逻辑是：总控堡垒机对store-10.0.0.1-hanhgzhou主机进行解析,得出其为一个ip地址为10.0.0.1所在网络节点上hangzhou的业务主机，紧接着总控堡垒机就根据这个信息发起对hangzhou节点的主控堡垒机的任务调度，命令hangzhou节点的主控堡垒机去为当前用户创建store-10.0.0.1-hangzhou的sudo账号权限，权限时长是7天。同时，还需要将该账号权限下放信息信息分别在总控堡垒机和hangzhou节点的主控堡垒机的数据库中进行存储，主控堡垒机和总控堡垒机会定期，一般是每24小时，发起双重检测，回收当天到期并需要回收的用户机器权限。
59.于上述具体实施例中，在上述内部逻辑执行完成的情况下，申请用户可以先登录
网络节点对应的访问堡垒机，然后既可以看到自己拥有的用户权限的部署机器主机列表，再选择快速选择登录即可。在此用户的登录过程采用全私钥认证登陆，由于总控堡垒机统一管理了访问堡垒机和部署机器的用户私钥对，每个用户都对应有独立的账号，访问堡垒机的shell脚本可以通过截获了i/o流来形成对应的用户登录情况审计日志。
60.在本技术的一些实施例中，主控堡垒机对部署机器的部署过程包括：
61.同步配置工具脚本；
62.写入预设的可执行任务清单以及预设的部署环境配置；
63.配置安全访问形式，安全访问形式不包括密码认证形式。
64.在本技术的一些实施例中，主控堡垒机中默认部署有与网络节点所对应的哨兵程序，哨兵程序可以联动网络节点的监控告警解决方案，收集所在当前网络节点中的部署机器的监控数据，并在触发告警的情况下通过邮件或即时通讯软件进行告警的播报，这些设置均是源于来自总控堡垒机的统一配置。
65.在本技术的一些实施例中，进一步地，根据接收到的第一扩展指令，向主控堡垒机执行可执行任务清单的更新；
66.根据接收到的第二扩展指令，向主控堡垒机执行部署环境配置的更新。
67.具体地，在本技术的一些实施例中，部署机器的部署工作可以包括同步系列工具脚本在新部署机器的目录下，包括初始化脚本、重命名脚本等基础脚本，这些脚本可以根据日常工作不断的扩展；而后可以写入默认的例如包括磁盘清理任务、自动拉起任务等，这些预设的基础任务同样可以根据日常工作的需要不断的扩展。
68.于上述实施例中，还包括对新部署机器执行预设的基础配置，比如默认要打入的公钥信息，使得新部署机器可以在接入网络节点后即完成发布机器的通道问题。又例如，还可以自动同步了预设的环境变量参数，例如默认需要创建的业务运行账号、已经调整机器连接数配置等。
69.于上述实施例中，还包括对新部署机器安装我们预设的基础运维使用工具，如vim、wget等，以及自动配置预设的安全配置文件，其中考虑到堡垒机的安全保障默认禁止了密码认证访问模式。
70.于上述实施例中，还可以包括为新接入的部署机器同步salt-minion的相关配置以及自动设置新部署机器的网络参数等，本领域技术人员可以根据实际需要自主选择为新接入的部署机器所额外配置的准备事宜。
71.在本技术的一些实施例中，在对于任意一个网络节点的主控堡垒机进行配置更新的情况下，将配置更新对应的更新内容同步至全部网络节点对应的主控堡垒机。
72.可以理解的是，在本技术提出的技术方案中，于该种一体化权限管理系统中，运营维护功能主要是由总控堡垒机进行的模版配置文件的配置工作，总控堡垒机通过模版配置模块生成各个网络节点中访问堡垒机和主控堡垒机相对应的模版配置文件，主控堡垒机再根据自身的配置文件生成网络节点中各个部署机器的配置文件。因此在日常的运营维护工作中，当需要变更相关配置文件时，只需要在总控堡垒机处对于模板配置文件进行相应的更新，然后统一对各个网络节点的主控堡垒机、访问堡垒机和部署机器进行下发，即可实现通过总控堡垒机对于全局部署机器的运营维护管理。
73.图2根据本技术的一些实施例，示出了一种适用于堡垒机的一体化权限管理系统，
应用于前述实施例提供的适用于堡垒机的一体化权限管理方法中，具体包括：
74.总控堡垒机1；
75.若干主控堡垒机20，每个主控堡垒机20对应一个网络节点2并与总控堡垒机1相连接；
76.其中：
77.总控堡垒机1在接收到用户权限请求的情况下，向对应的网络节点2中的主控堡垒机20发送第一总控指令；和/或
78.在接收到机器监控请求的情况下，向对应的网络节点2中的主控堡垒机20发送第二总控指令；和/或
79.在接收到运营维护请求的情况下，向对应的网络节点2中的主控堡垒机20发送第三总控指令；
80.主控堡垒机20根据接收到的第一总控指令，向网络节点2中对应的部署机器21下发对应的用户权限更新指令；
81.主控堡垒机20根据接收到的第二总控指令，向网络节点2中的全部部署机器21部署对应的监控代理程序；
82.主控堡垒机20根据接收到的第三总控指令，主控堡垒机向网络节点中的至少一部分部署机器21执行运营维护监控。
83.在本技术的一些实施例中，在任意主控堡垒机处于无法正常工作的情况下，总控堡垒机根据预先设置的配置文件，选择网络节点中的部署机器进行配置，以作为更新的主控堡垒机。
84.在本技术的一些实施例中，还提供了一种电子设备。该种电子设备中包含存储器和处理器，其中存储器用于对处理程序进行存储，处理器则根据指令对处理程序进行执行。当处理器对处理程序进行执行时，使得前述实施例中的运维权限管理方法得以实现。
85.在本技术的一些实施例中，还提供了一种可读存储介质，该可读存储介质可以为非易失性可读存储介质，也可以为易失性可读存储介质。该可读存储介质中存储有指令，当该指令在计算机上运行时，使得包含该种可读存储介质的电子设备执行前述的运维权限管理方法。
86.可以理解的是，对于前述所提及的运维权限管理方法，如果均以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
87.计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其
结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
88.可以以一种或多种程序设计语言的任意组合来编写用于执行本技术所公开的技术方案所涉及的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如c语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
89.上面结合附图对本公开的实施方式作了详细说明，但是本公开并不限于上述实施方式。即使对本公开做出各种变化，倘若这些变化属于本公开权利要求及其等同技术的范围之内，则仍落入在本公开的保护范围之中。
90.综上所述，通过本技术提出的技术方案，将所有的任务抽象为总控调度某个区域节点中的主控堡垒机进行任务的下发或是执行，从而实现了对于单个网络节点中各个部署机器的一体化权限管理，无论网络节点中的部署机器如何扩展或是网络节点的数量如何扩展，均可以通过简单的同步配置来适应于网络节点的可拓展环境，具有可推广价值。
91.以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本技术的实施例和实施例中的特征可以任意相互组合。