Teleport è un sistema di autorità di certificazione open source e facile da installare. Nel caso in cui disponi di server diversi accessibili tramite SSH, database Kubernetes e app Web diversi. Quindi il teletrasporto viene utilizzato per metterli tutti in un'unica piattaforma come piano di accesso a tutte queste infrastrutture. Ha anche una funzione di condivisione e registrazione di sessioni interattive in tutti gli ambienti. Inoltre funziona come un servizio systemd.
Qui a LinuxAPT, esamineremo come installare teleport sul server Ubuntu 20.04.
Passaggi per installare il teletrasporto sul sistema Ubuntu Linux
Si noti che nei sistemi operativi Linux e Mac, il servizio principale di teletrasporto teletrasporto e lo strumento di amministrazione tctl vengono utilizzati poiché sono progettati per funzionare su tali sistemi operativi. Anche il client utente di teletrasporto tsh e l'interfaccia utente sono disponibili per Linux, Mac e altri sistemi operativi.
I prerequisiti da soddisfare prima di procedere con l'installazione includono:
- Una macchina Linux con una porta 443 aperta.
- Un'app di autenticazione a due fattori come Authy, Google Authenticator o Microsoft Authenticator.
- Un client SSH come OpenSSH.
- Accesso a un servizio DNS come Amazon Route 53 o CoreDNS.
Se desideri binari a 32 bit o binari ARM, controlla la pagina dell'ultima versione a questo link https://goteleport.com/teleport/download/ . Ma per installare la versione a 64 bit dei binari di teletrasporto, esegui il comando seguente.
Per installare la chiave pubblica di teletrasporto, esegui il comando:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
Per aggiungere repository ad APT, esegui il comando:
$ sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
Per aggiornare APT Cache, esegui il comando:
$ sudo apt-get update
Infine per installare Teleport, esegui il comando:
$ sudo apt install teleport
Come si configura il teletrasporto?
Per configurare il teletrasporto, esegui semplicemente la configurazione e salvala in formato yaml. Per maggiori dettagli, verifica la configurazione con l'utilizzo del tuo editor preferito:
$ sudo vim /etc/teleport.yaml
teleport:nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
Affinché la configurazione funzioni correttamente, la directory /var/lib/teleport deve essere dotata di autorizzazioni adeguate che consentano a teleport e tctl di leggere e scrivere senza problemi. Esegui il comando seguente a tale scopo:
$ sudo chmod 755 -R /var/lib/teleport/
Come si configura il Domain Name System?
Devi fornire il certificato per il protocollo https sicuro. E' possibile con il certificato che già possiedi o creando un certificato di autofirma o aggiungere il DNS come tele.example.com puntando al tuo ip pubblico ed eseguire comandi con l'uso del protocollo ACME che richiedono che i certificati TLS siano automaticamente disponibili da Crittografiamo. Accede a un endpoint HTTP sul tuo host Teleport per completare le sfide di autenticazione:
$ sudo teleport configure --acme [email protected] --cluster-name=tele.example.com -o file
Oppure crea un certificato di autofirma:
$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/teleport.key -out /etc/pki/tls/certs/teleport.crt
Dopo la creazione del certificato, aggiungi quei certificati nella configurazione del teletrasporto:
$ sudo vim /etc/teleport.yaml
teleport:
nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
https_coppie di chiavi:
- key_file: /etc/pki/tls/private/teleport1.key
cert_file: /etc/pki/tls/certs/teleport1.crt
Come configurare il servizio di Teletrasporto e avviare il servizio?
Qui creeremo un servizio systemd per il servizio di teletrasporto con i comandi:
$ sudo vim /etc/systemd/system/teleport.service
[Unit]
Description=Teleport SSH Service
After=network.target
[Service]
Type=simple
Restart=on-failure
EnvironmentFile=-/etc/default/teleport
ExecStart=/usr/local/bin/teleport start --pid-file=/run/teleport.pid
ExecReload=/bin/kill -HUP $MAINPID
PIDFile=/run/teleport.pid
LimitNOFILE=8192
[Install]
WantedBy=multi-user.target
Ora, esegui i comandi seguenti per ricaricare il demone, abilitare e avviare il servizio:
$ sudo systemctl daemon-reload
$ sudo systemctl start teleport
$ sudo systemctl enable teleport
Per controllare lo stato del servizio di teletrasporto, esegui il comando:
$ sudo systemctl status teleport.service
Come creare l'utente di teletrasporto con la configurazione dell'autenticazione a due fattori?
Per accedere, è necessario disporre di un utente con il privilegio corretto. Per impostazione predefinita, il teletrasporto impone l'uso dell'autenticazione a due fattori, quindi stiamo creando un utente con nome utente admin-user utilizzando l'autenticazione a due fattori con l'uso di google Authenticator. Puoi utilizzare anche altri metodi di autenticazione disponibili nelle opzioni.
Esegui il comando come mostrato di seguito per creare l'utente:
$ sudo tctl users add admin-user --roles=editor,access --logins=root,ubuntu,linuxapt
Come puoi vedere, stiamo fornendo ruoli di editor e accesso a questo utente come privilegio di amministratore e utenti come root, ubuntu o linuxapt possono accedere ai server nei server del cluster di teletrasporto.
Dopo aver eseguito il comando precedente, vedrai il collegamento per creare una password per l'utente.
Ora, esploriamo il sito e creiamo una password per l'utente con l'utilizzo dell'autenticazione a due fattori.
Dopo aver fatto clic su Crea account, verrà visualizzata la dashboard dell'interfaccia utente Web del teletrasporto. Noterai il tuo utente appena creato con l'elenco dei nodi privilegiati per l'utente.
Come aggiungere un nodo al cluster?
Per aggiungere un nuovo nodo al cluster di teletrasporto,
Primo accesso al teletrasporto:
$ tsh login --proxy=tele.example.com --auth=local --user=admin-user
Genera un token con un limite di tempo specificato, qui stiamo limitando il tempo a 1 ora:
$ tctl tokens add --type=node --ttl=1h
Ora scarica il pacchetto di teletrasporto sul tuo nuovo nodo. Nel nostro caso, il nostro nuovo nodo è in esecuzione con il sistema operativo Ubuntu. Per questo, segui il processo di installazione:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
$sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
$ sudo apt-get update
$ sudo apt install teleport
Ora esegui questo comando sul nuovo nodo utilizzando il token creato con il comando precedente:
$ teleport start \
Come nel nostro caso, l'hostname è testserver quindi possiamo verificarlo navigando nel sito di Teleport WEB-UI e controllando la sezione server.
Come si accede al server aggiunto?
Ora, il nuovo nodo è stato aggiunto con successo, quindi è facilmente accessibile con la WEB UI o il terminale semplicemente cliccando su connetti e accedendo con l'opzione utente preferita nell'elenco.
Nel nostro caso, abbiamo selezionato root come utente, quindi si aprirà la scheda successiva in cui è possibile accedere al nuovo server del nodo.