אז כפי שציינתי במדריך הקודם, Teleport מספקת גישה מאובטחת לשרתי SSH או Windows, Kubernetes, מסדי נתונים ויישומי אינטרנט. טלפורט ניתנתלהגדרה בתור Linux daemon או Kubernetes pod.
במדריך זה אסביר כיצד להתקין את מערכת ה Teleport על גבי שרת Ubuntu/Centos, אך לפני שניגש להתקנה, יש לוודא את קיומם של הדברים הבאים:
- two-factor authenticator app such as Authy, Google Authenticator, or Microsoft Authenticator
- גישה לשירות DNS כמו Amazon Route 53 ,CoreDNS או CloudFlare (ניתן להשתמש גם ב DDNS).
- שרת לינוקס עם פורט 443 פתוח לעולם (דרכו ניגש לפורטל).
שלב א' – התקנת Teleport
על מנת להתקין את המערכת על גבי שרת Ubuntu, הריצו את הפקודות הבאות:
על מנת להתקין את המערכת על גבי Centos או Amazon Linux 2 הריצו את הפקודות הבאות:
שלב ב' – הגדרת DNS
Teleport משתמשת ב-TLS כדי לספק גישה מאובטחת לשירות ה-Proxy ו-Auth שלה, דבר הדורש רשומת DNS חוקית דרכה יוכלו הלקוחות להצפין את החיבור אל הפורטל של Teleport. לכן עלינו לוודא כי קיימות רשומות DNS רלוונטיות. ההמלצה היא להוסיף 2 רשומות שיצביעו אל כתובת ה IP של השרת:
- רשומה רגילה שתצביע ל teleport, למשל tele.example.com.
- רשומת Wildcard עבור האפליקציות ווב אליהן נרצה לגשת, לדוגמה tele.example.com.*
שלב ג' – הגדרות ה Teleport
צור קובץ תצורה עבור Teleport באמצעות הפקודה Teleport configure. פקודה זו דורשת מידע על אישור TLS ומפתח פרטי. אם שרת ה Teleport יושב בענן או מחוץ לרשת, ההמלצה היא להשתמש ב-Let's Encrypt על מנת לקבל את תעודות ה TLS באופן אוטומטי. לפריסות רשת פרטיות או מותאמות אישית, ניתן להשתמש בתעודה קיימת.
על מנת להשתמש בתעודה של Let's Encrypt, הרימו את הפקודה הבאה:
כאשר:
- החליפו את tele.example.com בכתובת שלכם.
- החליפו את [email protected] באימייל שלכם.
פעולה זו תוסיף את הפרמטרים הבאים לקובץ התצורה של טלפורט:
במידה ובחרתם להשתמש בפקודה קיימת, הקלידו את הפקודה הבאה:
כעת, לאחר שהגדרנו את כתובת ה DNS ואת תעודת ה TLS, נפעיל את טלפורט על ידי הרצת הפקודות הבאות:
כעת, הריצו את הפקודה systemctl status teleport על מנת לבדוק האם השירות עלה בהצלחה. התוצאה אמורה להיראות כך:
שלב ד' – הגדרת משתמשים
אם תגלשו לכתובת של שרת הטלפורט תגיעו לדף התחברות, אבל רגע, מה המשתמש והסיסמה?
על מנת שנוכל להשתמש במערכת יש להגדיר משתמשים. בחלק זה של המדריך נעבור על הוספת משתמשים, תפקידים ונגדיר למשתמשים כיצד ולאן יוכלו להתחבר.
על מנת ליצור משתמש חדש ולהגדיר לו גם 2fa, כתבו את הפקודה הבאה:
כאשר:
- teleport-admin – הוא שם המשתמש (תוכלו להחליף בשלכם).
- roles=editor,access – הרשאות של המשתמש
- logins – שם המשתמש לשרתים אליהם יתחבר.
עם הרצת הפקודה יתקבל הפלט הבא:
כעת, העתיקו את הכתובת מהפלט והדביקו אותה בשורת הכתובת בדפדפן. המסך שתקבלו יראה כך.
לחצו על Get Started על מנת להתחיל בתהליך הרישום.
כעת, תתבקשו לבחור סיסמה וכן לסרוק את הברקוד עם אפליקציית 2fa (ניתן להשתמש ב Authy וב Google Authenticator):
שלב ה' – חיבור שרתים
כעת, לאחר בחירת הסיסמה, נוכל להתחבר למערכת. המסך הראשון שנראה הוא מסך שיציג את רשימת השרתים המריצים את ה Agent ואליהם ניתן להתחבר.
השרת הראשון ברשימה הוא השרת שמריץ את Teleport, גם אליו ניתן להתחבר באמצעות SSH. ה Hostname נקבע לפי ה Hostname של השרת.
על מנת להוסיף שרת לרשימה, לחצו על כפתור ה Add Server בחלקו הימני עליון של המסך.
תוכלו לראות כעת, כי יש ברשותנו 3 אפשרויות להוספה:
- ישירות מול AWS.
- אוטומטי באמצעות סריפט (מומלץ).
- ידני, למקרים בהם לא ניתן להריץ את הסקריפט.
במידה ובחרתם הטאב של התקנה אוטומטית, תקבלו מסך שנראה כך:
כל שעליכם לעשות הוא להעתיק את הסקריפט ולהריץ אותו על השרת שברצונכם לצרף. עם סיום ההתקנה תראו מסך שנראה כך:
תוכלו לראות שהסקריפט הוריד את הקבצים הבינארים המותאמים לארכיטקטורה עליה התקנתי את ה Agent, במקרה הזה מדובר ב Banana pi pro עם מעבד ARM וכן יצר systemd script להפעלה אוטומטית שלו.
כעת נוכל לראות כי לרשימת השתרים התווסף שרת נוסף בשם bananapipro:
כעת, על מנת להתחבר לשרת שהוספנו, יש ללחוץ על כפתור ה Connect בצד שמאל.
תוכלו לשים לב שברשימה שנפתחה, ישנם מספר משתמשים. משתמשים אלה לא הגיע מהשרת אלא הוגדרו בשלב הוספת המשתמש. לכן חשוב מאוד שבזמן הוספת המשתמש תגדירו נכון את רשימת המשתמשים בהם יוכל להתחבר לשרת. לחצו על המשתמש הרלוונטי על מנת להתחבר לשרת.
כעת תוכלו לעבוד על השרת בצורה מאובטחת.
Leave a Reply