Teleport – Install, configure and add servers

Teleport

אז כפי שציינתי במדריך הקודם, Teleport מספקת גישה מאובטחת לשרתי SSH או Windows, Kubernetes, מסדי נתונים ויישומי אינטרנט. טלפורט ניתנתלהגדרה בתור Linux daemon או Kubernetes pod.

במדריך זה אסביר כיצד להתקין את מערכת ה Teleport על גבי שרת Ubuntu/Centos, אך לפני שניגש להתקנה, יש לוודא את קיומם של הדברים הבאים:

  • two-factor authenticator app such as AuthyGoogle Authenticator, or Microsoft Authenticator
  • גישה לשירות DNS כמו Amazon Route 53 ,CoreDNS או CloudFlare (ניתן להשתמש גם ב DDNS).
  • שרת לינוקס עם פורט 443 פתוח לעולם (דרכו ניגש לפורטל).

שלב א' – התקנת Teleport

על מנת להתקין את המערכת על גבי שרת Ubuntu, הריצו את הפקודות הבאות:

על מנת להתקין את המערכת על גבי Centos או Amazon Linux 2 הריצו את הפקודות הבאות:

שלב ב' – הגדרת DNS

Teleport משתמשת ב-TLS כדי לספק גישה מאובטחת לשירות ה-Proxy ו-Auth שלה, דבר הדורש רשומת DNS חוקית דרכה יוכלו הלקוחות להצפין את החיבור אל הפורטל של Teleport. לכן עלינו לוודא כי קיימות רשומות DNS רלוונטיות. ההמלצה היא להוסיף 2 רשומות שיצביעו אל כתובת ה IP של השרת:

  • רשומה רגילה שתצביע ל teleport, למשל tele.example.com.
  • רשומת Wildcard עבור האפליקציות ווב אליהן נרצה לגשת, לדוגמה tele.example.com.*

שלב ג' – הגדרות ה Teleport

צור קובץ תצורה עבור Teleport באמצעות הפקודה Teleport configure. פקודה זו דורשת מידע על אישור TLS ומפתח פרטי. אם שרת ה Teleport יושב בענן או מחוץ לרשת, ההמלצה היא להשתמש ב-Let's Encrypt על מנת לקבל את תעודות ה TLS באופן אוטומטי. לפריסות רשת פרטיות או מותאמות אישית, ניתן להשתמש בתעודה קיימת.

על מנת להשתמש בתעודה של Let's Encrypt, הרימו את הפקודה הבאה:

כאשר:

  • החליפו את tele.example.com בכתובת שלכם.
  • החליפו את [email protected] באימייל שלכם.

פעולה זו תוסיף את הפרמטרים הבאים לקובץ התצורה של טלפורט:

במידה ובחרתם להשתמש בפקודה קיימת, הקלידו את הפקודה הבאה:

כעת, לאחר שהגדרנו את כתובת ה DNS ואת תעודת ה TLS, נפעיל את טלפורט על ידי הרצת הפקודות הבאות:

כעת, הריצו את הפקודה systemctl status teleport על מנת לבדוק האם השירות עלה בהצלחה. התוצאה אמורה להיראות כך:

Teleport Service status

שלב ד' – הגדרת משתמשים

אם תגלשו לכתובת של שרת הטלפורט תגיעו לדף התחברות, אבל רגע, מה המשתמש והסיסמה?

Teleport login page

על מנת שנוכל להשתמש במערכת יש להגדיר משתמשים. בחלק זה של המדריך נעבור על הוספת משתמשים, תפקידים ונגדיר למשתמשים כיצד ולאן יוכלו להתחבר.
על מנת ליצור משתמש חדש ולהגדיר לו גם 2fa, כתבו את הפקודה הבאה:

כאשר:

  • teleport-admin – הוא שם המשתמש (תוכלו להחליף בשלכם).
  • roles=editor,access – הרשאות של המשתמש
  • logins – שם המשתמש לשרתים אליהם יתחבר.

עם הרצת הפקודה יתקבל הפלט הבא:

Create new user

כעת, העתיקו את הכתובת מהפלט והדביקו אותה בשורת הכתובת בדפדפן. המסך שתקבלו יראה כך.

לחצו על Get Started על מנת להתחיל בתהליך הרישום.
כעת, תתבקשו לבחור סיסמה וכן לסרוק את הברקוד עם אפליקציית 2fa (ניתן להשתמש ב Authy וב Google Authenticator):

Passrod page - techblog.co.il - טלפורט

שלב ה' – חיבור שרתים

כעת, לאחר בחירת הסיסמה, נוכל להתחבר למערכת. המסך הראשון שנראה הוא מסך שיציג את רשימת השרתים המריצים את ה Agent ואליהם ניתן להתחבר.

רשימת שרתים - טלפורט - techblog

השרת הראשון ברשימה הוא השרת שמריץ את Teleport, גם אליו ניתן להתחבר באמצעות SSH. ה Hostname נקבע לפי ה Hostname של השרת.

על מנת להוסיף שרת לרשימה, לחצו על כפתור ה Add Server בחלקו הימני עליון של המסך.

הוספת שרת

תוכלו לראות כעת, כי יש ברשותנו 3 אפשרויות להוספה:

  • ישירות מול AWS.
  • אוטומטי באמצעות סריפט (מומלץ).
  • ידני, למקרים בהם לא ניתן להריץ את הסקריפט.

במידה ובחרתם הטאב של התקנה אוטומטית, תקבלו מסך שנראה כך:

כל שעליכם לעשות הוא להעתיק את הסקריפט ולהריץ אותו על השרת שברצונכם לצרף. עם סיום ההתקנה תראו מסך שנראה כך:

תוכלו לראות שהסקריפט הוריד את הקבצים הבינארים המותאמים לארכיטקטורה עליה התקנתי את ה Agent, במקרה הזה מדובר ב Banana pi pro עם מעבד ARM וכן יצר systemd script להפעלה אוטומטית שלו.

כעת נוכל לראות כי לרשימת השתרים התווסף שרת נוסף בשם bananapipro:

כעת, על מנת להתחבר לשרת שהוספנו, יש ללחוץ על כפתור ה Connect בצד שמאל.

תוכלו לשים לב שברשימה שנפתחה, ישנם מספר משתמשים. משתמשים אלה לא הגיע מהשרת אלא הוגדרו בשלב הוספת המשתמש. לכן חשוב מאוד שבזמן הוספת המשתמש תגדירו נכון את רשימת המשתמשים בהם יוכל להתחבר לשרת. לחצו על המשתמש הרלוונטי על מנת להתחבר לשרת.

כעת תוכלו לעבוד על השרת בצורה מאובטחת.

1 Trackback / Pingback

  1. Teleport - The easiest, most secure way to access infrastructure - Tech Blog

Leave a Reply

כתובת האימייל שלך לא תפורסם


*