Gravitational Teleport是一个用于远程访问的现代安全网关,可作为简约高效的服务器运维堡垒机。 Github:GitHub – gravitational/teleport: Privileged access management for elastic infrastructure. https://github.com/gravitational/teleport 官网:Modern Privileged Access Management | Teleport | Gravitational https://gravitational.com/teleport/   1. 系统架构 2. 主要功能 •在浏览器中通过SSH或SSH-over-HTTPS的Linux服务器群集。 •Kubernetes集群。 对于需要以下功能的组织,它可以替代或与sshd一起使用: • SSH审核与会话录制/重播。devops • Kubernetes API Access,包含审计和kubectl执行记录/重放。 • 轻松管理团队,组织和数据中心之间的信任。 • 让SSH或Kubernetes访问防火墙后的集群,而无需任何开放端口。 • SSH协议的基于角色的访问控制(RBAC)。 • SSH和Kubernetes的统一RBAC。 除了其标志性功能外,Teleport对小型团队也很有意义,因为它有助于轻松采用最佳基础架构安全实践,例如: • 无需分发密钥:Teleport使用基于证书的访问,并具有自动证书过期时间。 • SSH和Kubernetes的第二因素身份验证(2FA)。 • 通过会话共享协作解决问题。… Continue Reading Gravitational Teleport – 用于远程访问的现代安全网关

设计API接口需要考虑安全性,很有必要理清 Identification 识别、Authentication 认证和 Authorization 授权三者关系,其实很简单,举个例子来说: 你要登陆系统, 你有一个用户名 jack,它可以唯一代表你,这就是 Identification 识别; 你输入的用户名 jack 和 密码 123456,服务器验证通过,服务器认为你就是 jack,这就是 Authentication  认证; 你登陆系统后,可以发布/编辑文章,这就是 Authorization 授权。   Identification 识别 判断使用者是谁,鉴定必须是独一无二的,才能正确的分辨出每个人。 主要回答这些问题: 谁是用户?   Authentication 认证 判断使用者是不是他所宣称的那个人, 如帐号密码机制,是基于帐号密码为只有本人跟系统本身才知道的共享秘密,所以只要可以正确输入密码,系统就可判断使用者为这个帐号所代表的人物。 主要回答这些问题: 谁是用户? 用户真的是他/她代表自己的人吗?   Authorization 授权 判断当前使用者所拥有对系统资源存取的权限(等级),例如会员登入后拥有读写资源的权力,而访客只有读的权力。 主要回答这些问题: 用户X是否有权访问资源R? 用户X是否被授权执行操作P? 用户X是否被授权在资源R上执行操作P?   综述 上面识别、认证、授权三者的关系: 系统要知道某个使用者对系统资源的存取权力,包含三个部分 Identification  识别:使用者告诉系统他是谁。… Continue Reading Identification 识别、Authentication 认证和 Authorization 授权三者关系

使用来自真实证书颁发机构(CA)的证书进行开发可能是危险的或不可能的(对于localhost或127.0.0.1等主机),但自签名证书会导致信任错误。 管理自己的CA是最佳解决方案,但通常涉及神秘的命令,专业知识和手动步骤。 mkcert自动在系统根存储中创建并安装本地CA,并生成本地信任的证书。