Teleport je open source, snadno instalovatelný systém certifikační autority. V případě, že máte různé servery, které jsou přístupné přes SSH, různé databáze Kubernetes a webové aplikace. Teleport se tedy používá k tomu, aby je všechny umístil na jednu platformu jako přístupovou rovinu ke všem těmto infrastrukturám. Má také funkci sdílení a nahrávání interaktivních relací ve všech prostředích.
Teleport také běží jako systémová služba a jeho instalace a nasazení je velmi snadné. V tomto článku budeme diskutovat o procesu instalace teleportu na serveru Ubuntu 20.04.
Instalace
Stejně jako v případě operačních systémů Linux a Mac se základní služba teleportu teleportuje a nástroj pro správu tctl se používají, protože jsou navrženy tak, aby fungovaly na takových operačních systémech. Také klient teleportu uživatele tsh a UI jsou k dispozici pro Linux, Mac a další operační systémy.
Předpoklady
- Počítač se systémem Linux s otevřeným portem 443
- Aplikace pro dvoufaktorové ověřování, jako je Authy, Google Authenticator nebo Microsoft Authenticator
- Klient SSH jako OpenSSH
- Přístup ke službě DNS, jako je Amazon Route 53 nebo CoreDNS
Instalace teleportu na server Ubuntu 20.04
Pokud chcete 32bitové binární soubory nebo binární soubory ARM, podívejte se na stránku s nejnovějším vydáním na tomto odkazu https://goteleport.com/teleport/download/ . Chcete-li však nainstalovat 64bitovou verzi teleportovacích binárních souborů, spusťte příkaz, jak je uvedeno níže.
Chcete-li nainstalovat veřejný klíč teleportu, spusťte příkaz, jak je uvedeno níže.
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
Chcete-li přidat repo do APT, spusťte příkaz, jak je uvedeno níže.
$ sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
Chcete-li aktualizovat mezipaměť APT, spusťte příkaz, jak je uvedeno níže.
$ sudo apt-get update
Nakonec pro instalaci Teleportu spusťte příkaz, jak je ukázáno níže.
$ sudo apt install teleport
Konfigurace teleportu
Pro konfiguraci teleportu jednoduše spusťte konfiguraci a uložte ji ve formátu yaml. Pro další podrobnosti zkontrolujte konfiguraci, jak je uvedeno níže, pomocí vašeho oblíbeného editoru.
$ sudo vim /etc/teleport.yaml
teleport: nodename: linuxways data_dir: /var/lib/teleport log: output: stderr severity: INFO format: output: text ca_pin: [] diag_addr: "" auth_service: enabled: “yes” cluster_name: "teleport" listen_addr: 0.0.0.0:3025 tokens: - proxy,node,app:e6cebf660b1f3390f204130b9649 public_addr: 5.22.209.65:3025 ssh_service: enabled: “yes” labels: env: example commands: - name: hostname command: [hostname] period: 1m0s app_service: enabled: “yes” debug_app: true proxy_service: enabled: “yes” listen_addr: 0.0.0.0:3023 web_listen_addr: 0.0.0.0:3080 tunnel_listen_addr: 0.0.0.0:3024 public_addr: 5.22.209.65:3080
Aby konfigurace fungovala správně, adresář /var/lib/teleport musí mít správná oprávnění, která umožňují teleport a tctl číst a zapisovat bez problémů. Pro tento účel spusťte příkaz, jak je uvedeno níže.
$ sudo chmod 755 -R /var/lib/teleport/
Konfigurace systému doménových jmen
Musíte poskytnout certifikát pro zabezpečený protokol https. Je to možné pomocí certifikátu, který již máte, nebo vytvořením certifikátu vlastního podpisu nebo přidáním DNS jako tele.example.com směřujícím na vaši veřejnou IP a spouštění příkazů s použitím protokolu ACME, které vyžadují, aby byly certifikáty TLS automaticky dostupné z Pojďme šifrovat. Přistupuje ke koncovému bodu HTTP na vašem hostiteli Teleport za účelem dokončení ověřovacích úkolů.
$ sudo teleport configure --acme [email protected] --cluster-name=tele.example.com -o file
Nebo vytvořte certifikát vlastního podpisu a
$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/teleport.key -out /etc/pki/tls/certs/teleport.crt
Po vytvoření certifikátu přidejte tyto certifikáty do konfigurace teleportu, jak je uvedeno níže.
$ sudo vim /etc/teleport.yaml
teleport: nodename: linuxways data_dir: /var/lib/teleport log: output: stderr severity: INFO format: output: text ca_pin: [] diag_addr: "" auth_service: enabled: “yes” cluster_name: "teleport" listen_addr: 0.0.0.0:3025 tokens: - proxy,node,app:e6cebf660b1f3390f204130b9649 public_addr: 5.22.209.65:3025 ssh_service: enabled: “yes” labels: env: example commands: - name: hostname command: [hostname] period: 1m0s app_service: enabled: “yes” debug_app: true proxy_service: enabled: “yes” listen_addr: 0.0.0.0:3023 web_listen_addr: 0.0.0.0:3080 tunnel_listen_addr: 0.0.0.0:3024 public_addr: 5.22.209.65:3080
https_keypairs:
- key_file: /etc/pki/tls/private/teleport1.key
cert_file: /etc/pki/tls/certs/teleport1.crt
Konfigurace služby Teleport a spuštění služby
Vytvořme službu systemd pro službu teleport s příkazy, jak je uvedeno níže.
$ sudo vim /etc/systemd/system/teleport.service
[Unit] Description=Teleport SSH Service After=network.target [Service] Type=simple Restart=on-failure EnvironmentFile=-/etc/default/teleport ExecStart=/usr/local/bin/teleport start --pid-file=/run/teleport.pid ExecReload=/bin/kill -HUP $MAINPID PIDFile=/run/teleport.pid LimitNOFILE=8192 [Install] WantedBy=multi-user.target
Nyní spusťte níže uvedený příkaz a znovu načtěte démona, povolte a spusťte službu.
$ sudo systemctl daemon-reload
$ sudo systemctl start teleport
$ sudo systemctl enable teleport
Chcete-li zkontrolovat stav služby teleportu, spusťte příkaz, jak je znázorněno níže.
$ sudo systemctl status teleport.service
Vytvoření uživatele teleportu s nastavením dvoufaktorové autentizace
Chcete-li se přihlásit, musíte mít uživatele se správnými oprávněními. Ve výchozím nastavení teleport vynucuje použití dvoufaktorové autentizace, takže vytváříme uživatele s uživatelským jménem admin-user pomocí dvoufaktorové autentizace s použitím google authenticator. Můžete použít i jiné způsoby ověření dostupné v možnostech.
Spusťte příkaz, jak je uvedeno níže, abyste vytvořili uživatele.
$ sudo tctl users add admin-user --roles=editor,access --logins=root,ubuntu,linuxways
Jak můžete vidět, poskytujeme tomuto uživateli role editora a přístup jako administrátorské oprávnění a uživatelé jako root, ubuntu nebo linuxways se mohou přihlásit k serverům na serverech teleport clusteru.
Po spuštění výše uvedeného příkazu uvidíte výstup, jak je znázorněno na snímku obrazovky níže s odkazem na vytvoření hesla pro uživatele.
Nyní pojďme procházet web a vytvořit heslo pro uživatele pomocí dvoufaktorové autentizace, jak je znázorněno na snímku obrazovky níže.
Po kliknutí na vytvořit účet se zobrazí řídicí panel webového uživatelského rozhraní teleportu. Všimnete si svého nově vytvořeného uživatele se seznamem uzlů s privilegiem uživatele. Další podrobnosti naleznete na níže uvedeném snímku obrazovky.
Přidání uzlu do clusteru
Chcete-li přidat nový uzel do skupiny teleportů, spusťte příkaz, jak je znázorněno níže.
Nejprve se přihlaste do teleportu
$ tsh login --proxy=tele.example.com --auth=local --user=admin-user
Vygenerujte token se zadaným časovým limitem, zde omezujeme čas na 1 hodinu.
$ tctl tokens add --type=node --ttl=1h
Nyní si stáhněte balíček teleportu do svého nového uzlu. V našem případě náš nový uzel běží s operačním systémem Ubuntu. Za tímto účelem projděte procesem instalace, jak je uvedeno níže..
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
$sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
$ sudo apt-get update
$ sudo apt install teleport
Nyní spusťte tento příkaz na novém uzlu pomocí tokenu vytvořeného pomocí výše uvedeného příkazu. Pro další podrobnosti zkontrolujte příkaz, jak je znázorněno níže.
Stejně jako v našem případě je název hostitele testserver takže si to můžeme ověřit procházením webu Teleport WEB-UI a kontrolou sekce serverů, jak je znázorněno na obrázku níže.
Přístup k přidanému serveru
Nyní byl nový uzel úspěšně přidán, takže je snadno přístupný pomocí webového uživatelského rozhraní nebo terminálu pouhým kliknutím na připojit a přistupovat k němu pomocí preferované uživatelské možnosti v seznamu. Další podrobnosti naleznete na níže uvedeném snímku obrazovky.
V našem případě jsme jako uživatele vybrali root a poté se otevře další karta, kde lze přistupovat k novému uzlu serveru, jak je znázorněno na snímku obrazovky níže.
Jak můžete vidět, příkazy snadno spouštíme na novém uzlu „testserver“ s WEBovým uživatelským rozhraním teleportu.
Závěr
V tomto článku jste se naučili, jak nainstalovat teleport na server Ubuntu 20.04 a přidat nový uzel. Spouštění příkazů na přidaném serveru prostřednictvím webového uživatelského rozhraní teleportu je snadné. Děkuji!