OneTerm-简单、轻量、灵活的开源堡垒机

堡垒机产品无论是开源还是闭源，都有一些代表性的产品，我们做的主要目的是：

1. 为了完善一站式运维平台OneOps的产品矩阵

2. 尽可能和我们其他产品打通，比如资产能和CMDB关联、工单和ITSM打通、自动化和AutoFlow对接

3. 无论是部署还是使用，尽可能的保持轻量，这是我们所有产品一致的追求

这篇文章概要介绍一下OneTerm，

开源地址为: https://github.com/veops/oneterm

首先OneTerm部署主要有6个组件：

MySQL

后端存储组件，主要存储配置类和审计类的数据

Redis

数据缓存

guacd

开源组件，用来实现RDP和VNC协议

ACL

数据权限管理模块，也是我们另外的一个开源项目

API

整个业务逻辑的后端，golang开发实现

UI

前端，vue2开发实现

因此整个开源堡垒机的部署还是比较轻量的，最核心的是API和UI

核心特性

 一

多协议支持

OneTerm支持多种远程连接协议，基本上涵盖了日常运维需求，包括：

 二

灵活的权限管理

基于ACL权限管理模块实现了灵活、细粒度的权限控制。基本上满足了堡垒机对资产、账户、权限、角色的权限管控需求。

系统为权限分配设置了多个入口，便于管理员便捷的分配权限。

1. 通用权限规则的创建

如上图所示，创建一个通用的权限规则，核心就在于目标选择和访问控制的设置。

目标选择控制的有3类目标：目录、资产、账号。因为资产最终呈现给用户的是一个目录树(资产树)，因此可以对目录节点进行授权。这三类对象都支持4种类型的选择: 全部、选择、正则、标签，用户可以按需灵活的定义授权的目标对象。

访问控制核心是授权角色和权限配置列表：

授权角色是基于ACL来实现的，支持角色继承，这个在ACL里可以定义，角色主要分为用户角色和虚拟角色。用户角色实际上就是用户；一个部门可以定义为虚拟角色，这样通过角色继承就能实现组织架构的权限管理！

权限配置列表有：连接、分享、上传、下载、复制、粘贴，足够细粒度。

还可对访问时间、命令拦截、IP白名单进行定义，满足堡垒机对安全的需求。

2. 资产快捷授权

如果授权都走统一的权限规则创建，体验可能没那么丝滑。因此，在创建资产的时候就可以直接快捷的授权，系统会自动生成一个权限规则，这对用户来讲，这种快捷的授权比创建一个授权规则要简单很多！

3. 目录快捷授权

同理，目录也可以快捷的授权，如下图所示。

核心功能模块

 一

工作台

简单来说，工作台帮助运维人员、开发人员和数据库管理员高效完成日常的远程访问和管理工作。在工作台可以连接资产、文件上传、下载等操作。

当然系统也支持批量的执行

二

资源管控

这个功能模块主要是为运维人员或者管理员来组织和管理资产、账户、以及访问控制的设置。

1. 基础资源

基础资源对目录、资产、账号、网关进行管理，具体使用见官方文档: https://veops.cn/docs/docs/oneterm/onterm_design

2. 访问控制

访问授权：授权规则的管理，在这个页面可以看到所有的授权规则。

命令拦截：对高危命令实现阻断，系统内置了常见的高危命令和命令模板。命令模板是命令的集合。

访问时段：对资产的访问时间做限制！同样系统也内置了常见的访问时间供用户直接使用。

3. 审计中心

目前支持对会话和日志进行审计：

在线会话：当前正在远程连接的会话，管理员可以直接监控或者断开会话连接。

历史会话：已经完成的会话，可以查看操作的命令历史以及录像的回放。

登录日志：用户登录系统的记录

操作日志：在UI上所有操作的日志文件日志：文件上传和下载的记录

4. 系统设置

系统设置对普通用户来讲就是一些偏好设置：

我的公钥：设置命令行终端免密登录到堡垒机，这个只针对ssh协议有用快捷命令：常用的命令可以预先定义好，然后直接引用终端显示:   可以自定义Web Terminal的显示和主题

对管理员来说还可以设置：

访问控制：会话空闲时间、默认的权限配置列表存储设置：录像会话文件默认本地存储，当然用户也可以存储在其他地方，目前支持主流公有云的对象存储以及开源对象存储MinIO。

总结

OneTerm致力于为运维团队提供一个简单、高效、安全的堡垒机解决方案，通过轻量级的设计和智能化的功能，让堡垒机的部署和使用变得更加简单。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/