Teleport ist ein quelloffenes, einfach zu installierendes Zertifizierungsstellensystem. Falls Sie verschiedene Server haben, auf die über SSH zugegriffen werden kann, verschiedene Kubernetes-Datenbanken und Web-Apps. Teleport wird also verwendet, um sie alle auf einer Plattform als Zugangsebene zu all diesen Infrastrukturen zusammenzufassen. Es hat auch eine Funktion zum Teilen und Aufzeichnen von interaktiven Sitzungen in allen Umgebungen. Außerdem läuft es als systemd-Dienst.
Hier bei LinuxAPT werden wir untersuchen, wie Teleport auf einem Ubuntu 20.04-Server installiert wird.
Schritte zur Installation von Teleport auf einem Ubuntu Linux-System
Beachten Sie, dass in Linux- und Mac-Betriebssystemen der Teleport-Kerndienst teleport und das Verwaltungstool tctl verwendet werden, da sie für die Arbeit auf solchen Betriebssystemen entwickelt wurden. Auch der Teleport-Benutzer-Client tsh und UI sind für Linux, Mac und andere Betriebssysteme verfügbar.
Zu den Voraussetzungen, die erfüllt werden müssen, bevor Sie mit der Installation fortfahren, gehören:
- Eine Linux-Maschine mit offenem Port 443.
- Eine Zwei-Faktor-Authentifizierungs-App wie Authy, Google Authenticator oder Microsoft Authenticator.
- Ein SSH-Client wie OpenSSH.
- Zugriff auf einen DNS-Dienst wie Amazon Route 53 oder CoreDNS.
Wenn Sie 32-Bit-Binärdateien oder ARM-Binärdateien möchten, sehen Sie sich die neueste Versionsseite unter diesem Link https://goteleport.com/teleport/download/ an. Um jedoch die 64-Bit-Version der Teleport-Binärdateien zu installieren, führen Sie den folgenden Befehl aus.
Führen Sie den folgenden Befehl aus, um den öffentlichen Schlüssel von Teleport zu installieren:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
Führen Sie den folgenden Befehl aus, um das Repo zu APT hinzuzufügen:
$ sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
Um den APT-Cache zu aktualisieren, führen Sie den folgenden Befehl aus:
$ sudo apt-get update
Führen Sie schließlich den Befehl aus, um Teleport zu installieren:
$ sudo apt install teleport
Wie konfiguriere ich den Teleport?
Um den Teleport zu konfigurieren, führen Sie einfach die Konfiguration aus und speichern Sie sie im Yaml-Format. Für weitere Details überprüfen Sie die Konfiguration mit Ihrem bevorzugten Editor:
$ sudo vim /etc/teleport.yaml
teleport:nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
Damit die Konfiguration richtig funktioniert, muss das Verzeichnis /var/lib/teleport mit den richtigen Rechten versehen werden, die es Teleport und tctl ermöglichen, ohne Probleme zu lesen und zu schreiben. Führen Sie zu diesem Zweck den folgenden Befehl aus:
$ sudo chmod 755 -R /var/lib/teleport/
Wie konfiguriere ich das Domain Name System?
Sie müssen das Zertifikat für das sichere https-Protokoll bereitstellen. Dies ist mit dem Zertifikat möglich, das Sie bereits haben, oder indem Sie ein selbst signiertes Zertifikat erstellen oder das DNS wie tele.example.com hinzufügen, das auf Ihre öffentliche IP-Adresse verweist, und Befehle unter Verwendung des ACME-Protokolls ausführen, die die automatische Verfügbarkeit von TLS-Zertifikaten anfordern Lassen Sie uns verschlüsseln. Es greift auf einen HTTP-Endpunkt auf Ihrem Teleport-Host zu, um Authentifizierungsherausforderungen abzuschließen:
$ sudo teleport configure --acme [email protected] --cluster-name=tele.example.com -o file
Oder erstellen Sie ein selbstsigniertes Zertifikat:
$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/teleport.key -out /etc/pki/tls/certs/teleport.crt
Fügen Sie nach der Erstellung des Zertifikats diese Zertifikate zur Konfiguration des Teleports hinzu:
$ sudo vim /etc/teleport.yaml
teleport:
nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
https_keypairs:
- key_file: /etc/pki/tls/private/teleport1.key
cert_file: /etc/pki/tls/certs/teleport1.crt
Wie konfiguriere ich den Teleport-Dienst und starte den Dienst?
Hier erstellen wir einen systemd-Dienst für den Teleport-Dienst mit den Befehlen:
$ sudo vim /etc/systemd/system/teleport.service
[Unit]
Description=Teleport SSH Service
After=network.target
[Service]
Type=simple
Restart=on-failure
EnvironmentFile=-/etc/default/teleport
ExecStart=/usr/local/bin/teleport start --pid-file=/run/teleport.pid
ExecReload=/bin/kill -HUP $MAINPID
PIDFile=/run/teleport.pid
LimitNOFILE=8192
[Install]
WantedBy=multi-user.target
Führen Sie nun die folgenden Befehle aus, um den Daemon neu zu laden, den Dienst zu aktivieren und zu starten:
$ sudo systemctl daemon-reload
$ sudo systemctl start teleport
$ sudo systemctl enable teleport
Führen Sie den folgenden Befehl aus, um den Status des Teleport-Dienstes zu überprüfen:
$ sudo systemctl status teleport.service
Wie erstelle ich den Teleport-Benutzer mit der Einrichtung der Zwei-Faktor-Authentifizierung?
Um sich anzumelden, müssen Sie über einen Benutzer mit der entsprechenden Berechtigung verfügen. Standardmäßig erzwingt Teleport die Verwendung der Zwei-Faktor-Authentifizierung, sodass wir einen Benutzer mit dem Benutzernamen admin-user erstellen, der die Zwei-Faktor-Authentifizierung unter Verwendung von Google Authenticator verwendet. Sie können auch andere Authentifizierungsmethoden verwenden, die in den Optionen verfügbar sind.
Führen Sie den Befehl wie unten gezeigt aus, um den Benutzer zu erstellen:
$ sudo tctl users add admin-user --roles=editor,access --logins=root,ubuntu,linuxapt
Wie Sie sehen können, stellen wir diesem Benutzer die Rolle des Editors und Zugriff als Administrator zur Verfügung, und Benutzer wie root, ubuntu oder linuxapt können sich bei den Servern in Teleport-Cluster-Servern anmelden.
Nachdem Sie den obigen Befehl ausgeführt haben, sehen Sie den Link zum Erstellen eines Passworts für den Benutzer.
Lassen Sie uns nun die Website durchsuchen und mithilfe der Zwei-Faktor-Authentifizierung ein Passwort für den Benutzer erstellen.
Nachdem Sie auf Konto erstellen geklickt haben, wird das Dashboard der Teleport-Web-Benutzeroberfläche angezeigt. Sie werden Ihren neu erstellten Benutzer mit der Liste der für den Benutzer privilegierten Knoten bemerken.
Wie füge ich einen Knoten zum Cluster hinzu?
So fügen Sie dem Teleport-Cluster einen neuen Knoten hinzu:
Melden Sie sich zuerst beim Teleport an:
$ tsh login --proxy=tele.example.com --auth=local --user=admin-user
Generieren Sie ein Token mit einem bestimmten Zeitlimit, hier begrenzen wir die Zeit auf 1 Stunde:
$ tctl tokens add --type=node --ttl=1h
Laden Sie nun das Teleport-Paket auf Ihren neuen Knoten herunter. In unserem Fall läuft unser neuer Knoten mit dem Ubuntu-Betriebssystem. Gehen Sie dazu den Installationsprozess durch:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
$sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
$ sudo apt-get update
$ sudo apt install teleport
Führen Sie nun diesen Befehl auf dem neuen Knoten aus, indem Sie das mit dem obigen Befehl erstellte Token verwenden:
$ teleport start \
Wie in unserem Fall lautet der Hostname testserver, sodass wir ihn überprüfen können, indem wir die Website von Teleport WEB-UI durchsuchen und den Abschnitt Server überprüfen.
Wie greife ich auf den hinzugefügten Server zu?
Jetzt wurde der neue Knoten erfolgreich hinzugefügt, sodass er mit der WEB-Benutzeroberfläche oder dem Terminal leicht zugänglich ist, indem Sie einfach auf Verbinden klicken und mit der bevorzugten Benutzeroption in der Liste darauf zugreifen.
In unserem Fall haben wir root als Benutzer ausgewählt, dann wird die nächste Registerkarte geöffnet, auf der auf den neuen Node-Server zugegriffen werden kann.