(项目)审计系统(堡垒机)

xiaoxiao2021-02-28  4

项目背景


需求分析

# 解决需求: 1、记录用户操作 实现方式1:改ssh客户端的源代码,10w+ 实现方式2:修改已有python ssh 库,加入指令记录的功能(推荐) 2、实现权限管理: A 支付系统的机器(500) 10.0.1.11 root 10.0.1.12 mysql B 10.0.1.12 root 3、日志记录:记入到数据库 4、密码&秘钥:2种方式实现服务器登陆

数据库设计


from django.db import models from django.contrib.auth.models import User # Create your models here. class IDC(models.Model): """ 机房信息 """ name = models.CharField(max_length=64, unique=True) def __str__(self): return self.name class Host(models.Model): """存储所有主机信息""" hostname = models.CharField(max_length=64, unique=True) ip_addr = models.GenericIPAddressField(unique=True) port = models.IntegerField(default=22) idc = models.ForeignKey('IDC', on_delete='') enabled = models.BooleanField(default=True) def __str__(self): return '%s-%s' % (self.hostname, self.ip_addr) class HostGroup(models.Model): """主机组""" name = models.CharField(max_length=64, unique=True) host_user_binds = models.ManyToManyField('HostUserBind') def __str__(self): return self.name class HostUser(models.Model): """存储远程主机的用户信息""" auth_type_choices = ((0, 'ssh-password'), (1, 'ssh-key')) auth_type = models.SmallIntegerField(choices=auth_type_choices) username = models.CharField(max_length=32) password = models.CharField(blank=True, null=True, max_length=128) def __str__(self): return '%s-%s-%s' % (self.get_auth_type_display(), self.username, self.password) class Meta: unique_together = ('username', 'password') class HostUserBind(models.Model): """绑定主机和用户""" host = models.ForeignKey('Host', on_delete='') host_user = models.ForeignKey('HostUser', on_delete='') def __str__(self): return '%s-%s' % (self.host, self.host_user) class Account(models.Model): """堡垒机账户""" user = models.OneToOneField(User, on_delete='') # 用户Django框架提供的用户验证模块 name = models.CharField(max_length=64) host_user_bind = models.ManyToManyField('HostUserBind', blank=True) host_groups = models.ManyToManyField('HostGroup', blank=True) class SessionLog(models.Model): """记录堡垒机用户登陆堡垒机信息的日志,同时用于生成记录用户指令文件的名称""" account = models.ForeignKey('Account', on_delete='') host_user_bind = models.ForeignKey('HostUserBind', on_delete='') start_date = models.DateTimeField(auto_now_add=True) end_date = models.DateTimeField(blank=True, null=True) def __str__(self): return '%s-%s' % (self.account, self.host_user_bind) class AuditLog(models.Model): """记录堡垒机账户操作远程服务器指令的日志""" session = models.ForeignKey('SessionLog', on_delete='') cmd = models.TextField() # 记录操作指令 data = models.DateTimeField(auto_now_add=True) # 自动添加当前时间 def __str__(self): return '%s-%s' % (self.session, self.cmd)

linux中用strace命令来实现监测用户指令


命令说明:

strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。

-c 统计每一系统调用的所执行的时间,次数和出错的次数等. -d 输出strace关于标准错误的调试信息. -f 跟踪由fork调用所产生的子进程. -ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号. -F 尝试跟踪vfork调用.在-f时,vfork不被跟踪. -h 输出简要的帮助信息. -i 输出系统调用的入口指针. -q 禁止输出关于脱离的消息. -r 打印出相对时间关于,,每一个系统调用. -t 在输出中的每一行前加上时间信息. -tt 在输出中的每一行前加上时间信息,微秒级. -ttt 微秒级输出,以秒了表示时间. -T 显示每一调用所耗的时间. -v 输出所有的系统调用.一些调用关于环境变量,状态,输入输出等调用由于使用频繁,默认不输出. -V 输出strace的版本信息. -x 以十六进制形式输出非标准字符串 -xx 所有字符串以十六进制形式输出. -a column 设置返回值的输出位置.默认 为40. -e expr 指定一个表达式,用来控制如何跟踪.格式:[qualifier=][!]value1[,value2]... qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用来限定的符号或数字.默认的 qualifier是 trace.感叹号是否定符号.例如:-eopen等价于 -e trace=open,表示只跟踪open调用.而-etrace!=open 表示跟踪除了open以外的其他调用.有两个特殊的符号 all 和 none. 注意有些shell使用!来执行历史记录里的命令,所以要使用\\. -e trace=set 只跟踪指定的系统 调用.例如:-e trace=open,close,rean,write表示只跟踪这四个系统调用.默认的为set=all. -e trace=file 只跟踪有关文件操作的系统调用. -e trace=process 只跟踪有关进程控制的系统调用. -e trace=network 跟踪与网络有关的所有系统调用. -e strace=signal 跟踪所有与系统信号有关的 系统调用 -e trace=ipc 跟踪所有与进程通讯有关的系统调用 -e abbrev=set 设定strace输出的系统调用的结果集.-v 等与 abbrev=none.默认为abbrev=all. -e raw=set 将指定的系统调用的参数以十六进制显示. -e signal=set 指定跟踪的系统信号.默认为all.如 signal=!SIGIO(或者signal=!io),表示不跟踪SIGIO信号. -e read=set 输出从指定文件中读出 的数据.例如: -e read=3,5 -e write=set 输出写入到指定文件中的数据. -o filename 将strace的输出写入文件filename -p pid 跟踪指定的进程pid. -s strsize 指定输出的字符串的最大长度.默认为32.文件名一直全部输出. -u username 以username的UIDGID执行被跟踪的命令

strace监控堡垒机用ssh连接其它服务器时输入的命令(在xsheel终端连接堡垒机后,监控堡垒机输入的指令):

将监控的命令结果输出到文件ssh_log:包含时间

通过Python subprocess连接远程主机(实时交互+免输入密码登陆)


openssh源码的linux版本下载

下载地址:http://www.openssh.com/portable.html

将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。

通过FTP软件将项目上传至堡垒机服务器上:

通过Python subprocess连接远程主机(实时交互+免输入密码登陆)


openssh源码的linux版本下载

下载地址:http://www.openssh.com/portable.html

将源码与python代码一同上传至堡垒机所处的服务器中后,用堡垒机来连接其它服务器。 通过FTP软件将项目上传至堡垒机服务器上。

上传sshpass-1.06.tar文件用于免密登陆的软件

先编译成二进制,再安装:

也可以通过apt一步安装到位:

查看apt-get install所安装的软件所在位置:dpkg -L 软件名

堡垒机无需再输入密码连接远程服务器:

代码实现堡垒机免密登陆远程服务器:

audit_shell.py文件: #_*_coding:utf-8_*_ import os import sys if __name__ == '__main__': # 将django添加到环境变量中 os.environ.setdefault("DJANGO_SETTINGS_MODULE", "audit.settings") import django django.setup() # 手动注册django中所有的APP from audit_init.backend import user_interactive obj = user_interactive.UserShell(sys.argv) # 终端运行该脚本时传入的参数 obj.start() user_interactive.py文件: from django.contrib.auth import authenticate from audit_init import models import subprocess class UserShell(): """用户登陆堡垒机后的shell""" def __init__(self, sys_argv): self.sys_argv = sys_argv self.user = None # 用来保存验证过的用户对象 def auth(self): """用Django自带认证系统进行用户验证""" count = 0 while count < 3: # 允许用户输入3次, username = input('请输入堡垒机账户名:').strip() password = input('请输入堡垒机密码:').strip() # 进行用户认证,通过则获得user对象, user = authenticate(username=username, password=password) if not user: count += 1 print('用户不存在!请重新输入') else: self.user = user return True else: print('输入次数超过3次,请稍候再试') def start(self): """启动交互程序""" if self.auth(): # 如果登陆成功 while True: host_groups = self.user.account.host_groups.all() # 通过user表反向查询出所有主机组 print(host_groups) for index, group in enumerate(host_groups): # group.host_user_binds.count() 计算一个组下有多少台主机 print('%s, \t%s[%s]'%(index, group, group.host_user_binds.count())) print("%s.\t未分组机器[%s]" % (len(host_groups), self.user.account.host_user_binds.count())) try: choice = input('请选择组:').strip() if choice.isdigit(): # 如果输入的是数字 choice = int(choice) host_bind_list = None if choice >= 0 and choice < len(host_groups):# selected_group = host_groups[choice] host_bind_list = selected_group.host_user_binds.all() elif choice == len(host_groups):#选择的未分组机器 host_bind_list = self.user.account.host_user_binds.all() if host_bind_list: while True: for index, host in enumerate(host_bind_list): print('%s, \t%s'%(index, host)) choice2= input('请选择主机:').strip() if choice2.isdigit(): choice2 = int(choice2) # 转换成int类型 if choice2 >= 0 and choice2 < len(host_bind_list): selected_host = host_bind_list[choice2] # StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证 cmd = 'sshpass -p %s ssh %s@%s -p %s -o StrictHostKeyChecking=no ' % ( selected_host.host_user.password, selected_host.host_user.username, selected_host.host.ip_addr, selected_host.host.port) subprocess.run(cmd, shell=True) # 启动shell程序窗口 elif choice2 == 'b': break except KeyboardInterrupt as e: pass 该部分操作时引出的问题: 1、无法通过浏览器访问linux服务器上的djangoWeb项目: 解决方式:python manage.py runserver 0.0.0.0:8000 # 手动设置访问地址,同时清除浏览器中的修改化设置内容

通过修改SSH源码作唯一标识,完成主机识别


问题背景:

1台堡垒机同时远程连接多台服务器时,无法将两者的进程信息进行区分,导致获取不到对应的端口号。

解决方式:通过ssh连接时传入随机数作为唯一标识,进行进程号的获取,从而通过strace进行监控

修改ssh源码(文件ssh.c中修改):

linux编译并安装openssh:

此处执行编译时可能报error: * zlib.h missing - please install first or check config.log *“这是由于缺少zlib-devel所致,只需安装zlib-devel即可,执行命令:yum install zlib-devel; 还有可能会包”OpenSSL headers missing - please install first or check config.log *“的错误,这是缺少openssl-devel所致,只需安装openssl-devel即可,执行命令:yum install openssl-devel

备注:当编译出错时,修改编译后,需要通过make clean清除原有的编译文件,保持环境干净.

该阶段可能出现的报错:

解决方式:校正时区 timedatectl set-timezone “Asia/Shanghai” timedatectl set-timezone UTC #推荐使用和设置协调世界时,即UTC。 yum -y install ntp systemctl status ntpd

测试修改后的ssh源码是否能够通过sshpass连接服务器,并携带自定义的参数:

可看到当前进程携带了自定义的参数用来进行过滤筛选:

修改python代码,筛选过滤出进程号,用来监控该进程号:

# 略…… if choice2 >= 0 and choice2 < len(host_bind_list): selected_host = host_bind_list[choice2] # 生成随机字符串作为连接每台服务器后,监控进程的唯一标识 import string import random s = string.ascii_lowercase + string.digits # 获得所有小写字母+数字 random_tag = ''.join(random.sample(s, 10)) # 取样 # StrictHostKeyChecking=no表示第一次连接服务器时无需输入yes作为签名验证 cmd = 'sshpass -p %s /usr/local/openssh7/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s' % ( selected_host.host_user.password, selected_host.host_user.username, selected_host.host.ip_addr, selected_host.host.port, random_tag) subprocess.run(cmd, shell=True) # 启动shell程序窗口 # 略…… 运行脚本后,可获得堡垒机连接到不同服务器时对应的进程号:

编辑linux系统中的脚本文件.sh

前提准备:对当前用户的sudo权限进行修改,免除运行.sh脚本时需要输入sudo密码进行安全验证的动作

注意:一定要在root用户下进行修改,否则会造成sudo无法使用,使得系统崩溃。

编写执行脚本:

#!/bin/bash for i in $(seq 1 30);do echo $i $1 # $1表示传入脚本文件中的参数(随机字符串) # ``表示可以执行的命令,echo时,如果不添加``,则直接以字符串形式输出内容 process_id = `ps -ef | grep $1 | grep -v sshpass | grep -v grep | grep -v 'session_tracker.sh' | awk '{print $2}'` # 输出得到的$process_id变量值 echo "process: $process_id" # 如果$process_id不为空时 if [ ! -z "$process_id" ];then echo 'start run strace……' # 监控用户输入的指令内容,将内容输出到指定位置($0表示输入的第一个参数) strace -fp $process_id -t -o $(cd `dirname $0`; pwd)/nnnnnnnnn.log; break; fi sleep 1 done;

运行脚本:

注:需先通过堡垒机的sshpass命令远程登陆一台服务器。

执行脚本命令:

会话监测日志

记录 堡垒机账户,登录主机的账户,登录的主机ip , 创建SessionLog 表,每次会话前创建一个sessionlog 记录, 把这个记录的ID传给session_tracker.sh ,因此 实现Session_tracker.sh 创建的会话日志 会以 sessionlog.id 命名 。

略…… s = string.ascii_lowercase +string.digits # 生成所有小写字符加数字 random_tag = ''.join(random.sample(s,10)) # 随机选择生成随机字符串 # 为session会话日志添加数据,获得session的Queryset对象 session_obj = models.SessionLog.objects.create(account=self.user.account,host_user_bind=selected_host) # 格式化cmd命令,实现免密远程登陆 cmd = "sshpass -p %s /usr/local/openssh/bin/ssh %s@%s -p %s -o StrictHostKeyChecking=no -Z %s" %(selected_host.host_user.password,selected_host.host_user.username,selected_host.host.ip_addr,selected_host.host.port ,random_tag) #start strace ,and sleep 1 random_tag, session_obj.id session_tracker_script = "/bin/sh %s %s %s " %(settings.SESSION_TRACKER_SCRIPT,random_tag,session_obj.id) # 执行脚本,循环检测是否连接到远程服务,记录用户发送给远程服务器的指令 session_tracker_obj =subprocess.Popen(session_tracker_script, shell=True,stdout=subprocess.PIPE,stderr=subprocess.PIPE) # 启动新的shell窗口,连接到远程服务器 ssh_channel = subprocess.run(cmd,shell=True) print(session_tracker_obj.stdout.read(), session_tracker_obj.stderr.read()) 略……

注意: python3 manage.py migrate –fake # 伪装执行完成数据库记录更改

解析命令日志文件:

略……

访问堡垒机服务器时自动启动的脚本文件:

通过修改脚本文件来设置启动内容项。

将项目移动至local目录下作为生产环境的位置:

可能的报错问题:

解决方式:

无需添加sudo命令来执行其它命令:

退出程序时应该一并退出堡垒机服务器:

代码级别的控制:

总结:

此方式不适用对用户操作的方式无法有效记录!!!

paramiko模块监控用户命令输入


paramiko模块命令监控演示:

1、从github上下载该模块 2、改写interactive.py 中的代码,添加一行print(‘->’, x)代码:

3、执行该demo.py模块文件:

拼接命令:

修改paramiko源码:

ssh_interactive.py import base64 from binascii import hexlify import getpass import os import select import socket import sys import time import traceback from paramiko.py3compat import input import paramiko try: import interactive except ImportError: from . import interactive def manual_auth(t, username,password): t.auth_password(username, password) def ssh_session(bind_host_user, user_obj): # now connect hostname = bind_host_user.host.ip_addr port = bind_host_user.host.port username = bind_host_user.host_user.username password = bind_host_user.host_user.password try: sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect((hostname, port)) except Exception as e: print("*** Connect failed: " + str(e)) traceback.print_exc() sys.exit(1) try: t = paramiko.Transport(sock) try: t.start_client() except paramiko.SSHException: print("*** SSH negotiation failed.") sys.exit(1) try: keys = paramiko.util.load_host_keys( os.path.expanduser("~/.ssh/known_hosts") ) except IOError: try: keys = paramiko.util.load_host_keys( os.path.expanduser("~/ssh/known_hosts") ) except IOError: print("*** Unable to open host keys file") keys = {} # check server's host key -- this is important. key = t.get_remote_server_key() if hostname not in keys: print("*** WARNING: Unknown host key!") elif key.get_name() not in keys[hostname]: print("*** WARNING: Unknown host key!") elif keys[hostname][key.get_name()] != key: print("*** WARNING: Host key has changed!!!") sys.exit(1) else: print("*** Host key OK.") if not t.is_authenticated(): manual_auth(t, username, password) if not t.is_authenticated(): print("*** Authentication failed. :(") t.close() sys.exit(1) chan = t.open_session() chan.get_pty() chan.invoke_shell() print("*** Here we go!\n") from audit_init import models # 创建会话日志 session_obj = models.SessionLog.objects.create(account=user_obj.account, host_user_bind=bind_host_user, ) interactive.interactive_shell(chan, session_obj) # 启动shell终端 chan.close() t.close() except Exception as e: print("*** Caught exception: " + str(e.__class__) + ": " + str(e)) traceback.print_exc() try: t.close() except: pass sys.exit(1) interactive.py import socket import sys from paramiko.py3compat import u from audit_init import models # windows does not have termios... try: import termios import tty has_termios = True except ImportError: has_termios = False def interactive_shell(chan, session_obj): if has_termios: posix_shell(chan,session_obj) else: windows_shell(chan) def posix_shell(chan, session_obj): import select oldtty = termios.tcgetattr(sys.stdin) try: tty.setraw(sys.stdin.fileno()) tty.setcbreak(sys.stdin.fileno()) chan.settimeout(0.0) flag = False cmd = '' while True: r, w, e = select.select([chan, sys.stdin], [], []) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: # 未输入指令状态/ctrl+c退出shell终端时 sys.stdout.write("\r\n*** EOF\r\n") break if flag: cmd+=x flag=False sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: x = sys.stdin.read(1) if len(x) == 0: break if x == '\r': models.AuditLog.objects.create(session=session_obj, cmd=cmd) # 将用户输入的命令写入数据表 cmd='' # 清空 elif x == '\t': flag = True else: cmd += x chan.send(x) finally: termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) # thanks to Mike Looijmans for this code def windows_shell(chan): import threading sys.stdout.write( "Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n" ) def writeall(sock): while True: data = sock.recv(256) if not data: sys.stdout.write("\r\n*** EOF ***\r\n\r\n") sys.stdout.flush() break sys.stdout.write(data) sys.stdout.flush() writer = threading.Thread(target=writeall, args=(chan,)) writer.start() try: while True: d = sys.stdin.read(1) if not d: break chan.send(d) except EOFError: # user hit ^Z or F6 pass user_interactive.py 略…… if choice2 >= 0 and choice2 < len(host_bind_list): selected_host = host_bind_list[choice2] # 生成随机字符串作为连接每台服务器后,监控进程的唯一标识 from audit_init.backend.ssh_interactive import ssh_session ssh_session(selected_host, self.user) 略…… 在admin组件中展示特定字段: from django.contrib import admin from audit_init import models # Register your models here. class AuditLogAdmin(admin.ModelAdmin): # 在admin后台展示的字段 list_display = ['session', 'cmd', 'date'] # 在admin后台搜索的条件字段 list_filter = ['date', 'session'] class SessionLogAdmin(admin.ModelAdmin): list_display = ['id','account','host_user_bind','start_date','end_date'] list_filter = ['start_date','account'] admin.site.register(models.IDC) admin.site.register(models.HostGroup) admin.site.register(models.Host) admin.site.register(models.HostUser) admin.site.register(models.HostUserBind) admin.site.register(models.Account) admin.site.register(models.SessionLog, SessionLogAdmin) admin.site.register(models.AuditLog, AuditLogAdmin)

将前端模版嵌入堡垒机


static路径问题:

settings配置文件:

# 静态资源位置加载,可兼容多个路径 STATIC_URL = '/static/' # 静态资源入口 STATICFILES_DIRS = ( os.path.join(BASE_DIR,'statics'), # 允许多个静态资源路径 )

母版改造:

base.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title> audit | AI堡垒机</title> <link href="http://fonts.googleapis.com/css?family=Open+Sans:300,400,600,700&subset=latin" rel="stylesheet"> <link href="/static/css/bootstrap.min.css" rel="stylesheet"> <link href="/static/css/nifty.min.css" rel="stylesheet"> <link href="/static/premium/icon-sets/icons/line-icons/premium-line-icons.min.css" rel="stylesheet"> <link href="/static/premium/icon-sets/icons/solid-icons/premium-solid-icons.min.css" rel="stylesheet"> <link href="/static/css/pace.min.css" rel="stylesheet"> <script src="/static/js/pace.min.js"></script> <script src="/static/js/jquery.min.js"></script> <script src="/static/js/bootstrap.min.js"></script> <script src="/static/js/nifty.min.js"></script> </head> <body> {% block body %} {% endblock %} </body> </html> index.html {% extends 'base.html' %} {% block body %} 略…… {% endblock%}

登陆与退出


urls:

url(r'^$', views.index), url(r'^login.html/$', views.acc_login), url(r'^login_out.html/$', views.acc_login_out),

views:

def index(request): return render(request, 'index.html',) def acc_login(request): """ 登录 :param request: :return: """ if request.method == 'POST': # 登陆成功 print('11') username = request.POST.get('username') password = request.POST.get('password') # 使用django自带的用户认证 user = authenticate(username=username, password=password) if user: # 将用户封装到request中的session中响应给浏览器 login(request, user) return redirect('/') # 登陆失败 return render(request, 'login.html',) def acc_login_out(request): """ 退出登陆 :param request: :return: """ logout(request) return redirect('/login.html/')

login.html

{% extends 'base.html' %} {% block body %} <div id="container" class="cls-container"> <!-- LOGIN FORM --> <!--===================================================--> <div class="cls-content"> <div class="cls-content-sm panel"> <div class="panel-body"> <div class="mar-ver pad-btm"> <h1 class="h3">用户登陆</h1> </div> <form action="/login.html/" method="POST" > <div class="form-group"> <input type="text" class="form-control" placeholder="Username" autofocus name="username"> </div> <div class="form-group"> <input type="password" class="form-control" placeholder="Password" name="password"> </div> <div class="checkbox pad-btm text-left"> <input id="demo-form-checkbox" class="magic-checkbox" type="checkbox"> <label for="demo-form-checkbox">Remember me</label> </div> <button class="btn btn-primary btn-lg btn-block" type="submit">登陆</button> </form> </div> <div class="pad-all"> <a href="#" class="btn-link mar-rgt">忘记密码 ?</a> </div> </div> </div> </div> {% endblock %}

index.html:

从request中获得session中的用户名#} <div class="username hidden-xs">{{ request.user }}</div> <div class="pad-all text-right"> <a href="/login_out.html/" class="btn btn-primary"> <i class="pli-unlock icon-fw"></i>退出 </a>

控制导航栏高亮显示


url:

url(r'^host_list/$', views.host_list, name='host_list'),

views:

def host_list(request): return render(request, 'host_list.html',)

index.html:

省略页面改造步骤

略…… <script> $(function () { {#第一种显示高亮的函数#} /*$("#mainnav-menu a").click(function () { $(this).parent().addClass('active-link') });*/ {##第一种显示高亮的函数:通过属性选择器获得前当URL对应的a标签,从而控制a标签的高亮#} $("#mainnav-menu a[href='{{ request.path }}']").parent().addClass('active-link'); }); </script> 略……

Django自带用户认证


使用认证装饰器@login_required

# views: from django.contrib.auth.decorators import login_required # 登陆认证过滤装饰器 @login_required def index(request): return render(request, 'index.html',) def acc_login(request): """ 登录 :param request: :return: """ if request.method == 'POST': # 登陆成功 print('11') username = request.POST.get('username') password = request.POST.get('password') # 使用django自带的用户认证 user = authenticate(username=username, password=password) if user: # 将用户封装到request中的session中响应给浏览器 login(request, user) # 从url中获取next中的地址,可以重新载入登陆前的url地址 return redirect(request.GET.get('next') or '/') # 登陆失败 return render(request, 'login.html',)

settings配置文件:

LOGIN_URL = '/login/' # 用户认证装饰器默认跳转的页面url为 /login/

主机列表开发


html改造:

{% extends 'index.html' %} {% block page_title %} 主机列表 {% endblock %} {% block current_location %} 主机列表 {% endblock %} {% block page_content %} <div class="panel col-lg-3"> <div class="panel-heading"> <h3 class="panel-title"> <trans oldtip="Panel with header" newtip="带标头的面板" style="">主机组</trans> </h3> </div> <div class="panel-body"> <p> <div class="panel-body"> <!--List Group with Badges--> <!--===================================================--> <ul class="list-group"> {% for group in request.user.account.host_groups.all %} <li class="list-group-item" onclick="GetHostlist({{ group.id }}, this)"><span class="badge badge-primary">{{ group.host_user_binds.count }}</span>{{ group.name }} </li> {% endfor %} <li class="list-group-item" onclick="GetHostlist(-1, this)"><span class="badge badge-primary">{{ request.user.account.host_user_binds.count }}</span>未分组主机 </li> </ul> </div> </p> </div> </div> <div class="panel col-lg-9"> <div class="panel-heading"> <h3 class="panel-title"> <trans oldtip="Panel with header" newtip="带标头的面板" style="">主机列表</trans> </h3> </div> <!-- Striped Table --> <!--===================================================--> <div class="panel-body"> <div class="table-responsive"> <table class="table table-striped"> <thead> <tr> <th>Hostname</th> <th>IP</th> <th>IDC</th> <th>Port</th> <th>Username</th> <th>Login</th> <th>Token</th> </tr> </thead> <tbody id="hostlist"> </tbody> </table> </div> </div> <!--===================================================--> <!-- End Striped Table --> </div> {% endblock %}

js部分:

<script> function GetHostlist(gid, self) { $.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback) { var data = JSON.parse(callback); console.log(data) var trs = '' $.each(data, function (index, i) { var tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name + "</td><td>" + i.host__port + "</td><td>" + i.host_user__username + "</td><td>" trs += tr $("#hostlist").html(trs); }) }); $(self).addClass("active").siblings().removeClass('active'); } </script>

urls:

url(r'^api/hostlist/$', views.get_host_list, name='get_host_list'),

views:

@login_required def get_host_list(request): gid = request.GET.get('gid') if gid: if gid == '-1': # 未分组 host_list = request.user.account.host_user_binds.all() else: group_obj = request.user.account.host_groups.get(id = gid) host_list = group_obj.host_user_binds.all() import json data = json.dumps(list(host_list.values('id', 'host__hostname', 'host__ip_addr', 'host__port', 'host_user__username'))) print(data) return HttpResponse(data)

shellinabox使用


Shellinabox 是一个利用 Ajax 技术构建的基于 Web 的远程Terminal 模拟器,也就是说安装了该软件之后,不需要开启 ssh服务,通过 Web 网页就可以对远程主机进行维护操作了,出于安全考虑, Shellinabox 默认强制使用了https协议,这是个挺有趣的技术,因而就在rhel6上面折腾了下,下面记录了主要的操作步骤:

安装

下载地址:https://github.com/shellinabox/shellinabox 安装准备:(提前装好C环境)yum -y install gcc netstate 工具安装: yum -y install net-tools 一:编译安装Shellinabox [root@rhel6 ~]# cd /usr/local/src/tarbag/ [root@rhel6 tarbag]# wgethttp://shellinabox.googlecode.com/files/shellinabox-2.10.tar.gz [root@rhel6 tarbag]# tar -zxvf shellinabox-2.10.tar.gz -C ../software/ [root@rhel6 tarbag]# cd ../software/shellinabox-2.10/ [root@rhel6 shellinabox-2.10]# ./configure --prefix=/usr/local/shellinabox [root@rhel6 shellinabox-2.10]# make && make install 二:试启动Shellinabox,可以加上--help参数查看启动选项,这里可以看到默认Shellinabox采用https方式启动 [root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd Cannot read valid certificate from "certificate.pem". Check file permissions and file format. [root@rhel6 ~]# /usr/local/shellinabox/bin/shellinaboxd -b -t //-b选项代表在后台启动,-t选项表示不使用https方式启动,默认以nobody用户身份,监听TCP4200端口 [root@rhel6 ~]# netstat -ntpl |grep shell # 查看端口号 tcp 0 0 0.0.0.0:4200 0.0.0.0:* LISTEN 16823/shellinaboxd

使用:

1、关闭防火墙: systemctl stop firewalled.service systemctl disable firewalled.service 2、浏览器访问:ip+端口号

后台生成token在前端页面


html

<script> function GetToken(self, bind_host_id) { # 生成token的函数 $.post("{% url 'get_token' %}", {'bind_host_id':bind_host_id, 'csrfmiddlewaretoken':'{{csrf_token}}'}, # 通过ajax使用反向url生成的形式发送post请求 function (callback) { console.log(callback) var data = JSON.parse(callback) $(self).parent().next().text(data.token) }) } function GetHostlist(gid, self) { $.get("{% url 'get_host_list' %}", {'gid': gid}, function (callback) { # 通过ajax使用反向url生成的形式发送get请求 var data = JSON.parse(callback); console.log(data) var trs = '' var tr= '' $.each(data, function (index, i) { tr = "<tr><td>" + i.host__hostname + "</td><td>" + i.host__ip_addr + "</td><td>" + i.host__idc__name + "</td><td>" + i.host__port + "</td><td>" + i.host_user__username +"</td><td><a class='btn btn-info' onclick=GetToken(this,'"+i.id+"')>Token</a>Login</td><td><td></tr>" # 调用GetToken函数来生成token trs += tr }) $("#hostlist").html(trs); }); $(self).addClass("active").siblings().removeClass('active'); } </script>

url:

url(r'^api/token/$', views.get_token, name='get_token'),

views:

@login_required def get_token(request): """生成token并返回""" from django.utils import timezone bind_host_id = request.POST.get('bind_host_id') # 这里需要使用timezone.now来获取本地当前时间,而非datatime().datatime(),因为关系到需要自适应时区的问题,否则报错 time_obj = timezone.now() - datetime.timedelta(seconds=300) # 获得5分钟前的时间 exist_token_objs = models.Token.objects.filter(account_id=request.user.account.id, host_user_bind_id=bind_host_id, date__gt=time_obj ) if exist_token_objs: # has token already token_data ={'token':exist_token_objs[0].val} else: token_val = ''.join(random.sample(string.ascii_lowercase+string.digits,8)) token_obj = models.Token.objects.create( host_user_bind_id = bind_host_id, account = request.user.account, val = token_val ) token_data = {'token':token_val} return HttpResponse(json.dumps(token_data))

model

class Token(models.Model): host_user_bind = models.ForeignKey("HostUserBind", on_delete='') val = models.CharField(max_length=128,unique=True) account = models.ForeignKey("Account", on_delete='') expire = models.IntegerField("超时时间(s)",default=300) date = models.DateTimeField(auto_now_add=True) def __str__(self): return "%s-%s" %(self.host_user_bind,self.val)

批量命令页面开发(全选功能+数量统计)


html

{% extends 'index.html' %} {% block page_title %} 主机列表 {% endblock %} {% block current_location %} 主机列表 {% endblock %} {% block page_content %} {% csrf_token %} <div id="page-content"> <div class="panel col-lg-3"> <div class="panel-heading"> <h3 class="panel-title"> <trans oldtip="Panel with header" newtip="带标头的面板" style=""> 主机组 <label id="selected_hosts"></label> </trans> </h3> </div> <div class="panel-body"> <p> <div class="panel-body"> <ul class="list-group " id="host_groups"> {% for group in request.user.account.host_groups.all %} <li class="list-group-item "> <span class="badge badge-primary">{{ group.host_user_binds.count }}</span> <input type="checkbox" onclick="checkAll(this)"> # 循环主机名 <a onclick="DisplayHostList(this)">{{ group.name }}</a> <ul class="hide"> {% for bind_host in group.host_user_binds.all %} # 循环主机ip地址 <input type="checkbox" value="{{ bind_host.id }}" onclick="showCheckHostCount()"> <li>{{ bind_host.host.ip_addr }}</li> {% endfor %} </ul> </li> {% endfor %} <li class="list-group-item" onclick="DisplayHostList(this)"> <input type="checkbox" onclick="checkAll(this)"> <span class="badge badge-primary"> {{ request.user.account.host_user_binds.count }} </span>未分组主机 <ul class="hide"> {% for bind_host in request.user.account.host_user_binds.all %} <li>{{ bind_host.host.ip_addr }}</li> {% endfor %} </ul> </li> </ul> </div> </p> </div> </div> <div class="panel col-lg-9"> <div class="panel-heading"> <h3 class="panel-title"> <trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans> </h3> </div> <div class="panel-body"> ddd </div> </div> <div class="panel col-lg-9"> <div class="panel-heading"> <h3 class="panel-title"> <trans oldtip="Panel with header" newtip="带标头的面板" style="">命令</trans> </h3> </div> <div class="panel-body"> ddd </div> </div> </div> <script> # 控制隐藏和显示切换 function DisplayHostList(self) { $(self).next().toggleClass('hide') } function checkAll(self) { {#全选功能 复选框#} $(self).parent().find('ul :checkbox').prop('checked', $(self).prop('checked')) showCheckHostCount() } {#统计选中的数量#} function showCheckHostCount() { var selected_host_count = $('#host_groups ul').find(':checked').length; $('#selected_hosts').text(selected_host_count); return selected_host_count } </script> {% endblock %}
转载请注明原文地址: https://www.6miu.com/read-1750040.html

最新回复(0)