Teleport es un sistema de autoridad certificadora de código abierto y fácil de instalar. En caso de que tenga diferentes servidores a los que se pueda acceder a través de SSH, diferentes bases de datos de Kubernetes y aplicaciones web. Entonces, el teletransporte se usa para ponerlos a todos en una plataforma como un plano de acceso a todas estas infraestructuras. También tiene una función para compartir y grabar sesiones interactivas en todos los entornos. También se ejecuta como un servicio systemd.
Aquí en LinuxAPT, veremos cómo instalar Teleport en el servidor Ubuntu 20.04.
Pasos para instalar Teleport en sistema Ubuntu Linux
Tenga en cuenta que en los sistemas operativos Linux y Mac, se utilizan el servicio central de teletransporte y la herramienta de administración tctl, ya que están diseñados para funcionar en dichos sistemas operativos. Además, el cliente de usuario de teletransporte tsh y la interfaz de usuario están disponibles para Linux, Mac y otros sistemas operativos.
Los requisitos previos que deben cumplirse antes de continuar con la instalación incluyen:
- Una máquina Linux con un puerto 443 abierto.
- Una aplicación de autenticación de dos factores como Authy, Google Authenticator o Microsoft Authenticator.
- Un cliente SSH como OpenSSH.
- Acceso a un servicio DNS como Amazon Route 53 o CoreDNS.
Si desea binarios de 32 bits o binarios ARM, consulte la página de la última versión en este enlace https://goteleport.com/teleport/download/. Pero para instalar la versión de 64 bits de los binarios de teletransporte, ejecute el siguiente comando.
Para instalar la clave pública de teletransporte, ejecute el comando:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
Para agregar un repositorio a APT, ejecute el comando:
$ sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
Para actualizar APT Cache, ejecute el comando:
$ sudo apt-get update
Finalmente, para instalar Teleport, ejecute el comando:
$ sudo apt install teleport
¿Cómo configurar el teletransporte?
Para configurar el teletransporte, simplemente ejecute la configuración y guárdela con formato yaml. Para más detalles, verifique la configuración con el uso de su editor favorito:
$ sudo vim /etc/teleport.yaml
teleport:nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
Para que la configuración funcione correctamente, el directorio /var/lib/teleport debe contar con los permisos correctos que permitan que teleport y tctl lean y escriban sin problemas. Ejecute el siguiente comando para ese propósito:
$ sudo chmod 755 -R /var/lib/teleport/
¿Cómo configurar el sistema de nombres de dominio?
Debe proporcionar el certificado para el protocolo https seguro. Es posible con el certificado que ya tiene o creando un certificado de autofirma o agregar el DNS como tele.example.com apuntando a su IP pública y ejecutar comandos con el uso del protocolo ACME que solicita certificados TLS para estar disponibles automáticamente desde Vamos a cifrar. Accede a un punto final HTTP en su host de Teleport para completar los desafíos de autenticación:
$ sudo teleport configure --acme [email protected] --cluster-name=tele.example.com -o file
O cree un certificado de autofirma:
$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 -keyout /etc/pki/tls/private/teleport.key -out /etc/pki/tls/certs/teleport.crt
Después de la creación del certificado, agregue esos certificados en la configuración del telepuerto:
$ sudo vim /etc/teleport.yaml
teleport:
nodename: linuxapt
data_dir: /var/lib/teleport
log:
output: stderr
severity: INFO
format:
output: text
ca_pin: []
diag_addr: ""
auth_service:
enabled: “yes”
cluster_name: "teleport"
listen_addr: 0.0.0.0:3025
tokens:
- proxy,node,app:e6cebf660b1f3390f204130b9649
public_addr: 5.22.209.65:3025
ssh_service:
enabled: “yes”
labels:
env: example
commands:
- name: hostname
command: [hostname]
period: 1m0s
app_service:
enabled: “yes”
debug_app: true
proxy_service:
enabled: “yes”
listen_addr: 0.0.0.0:3023
web_listen_addr: 0.0.0.0:3080
tunnel_listen_addr: 0.0.0.0:3024
public_addr: 5.22.209.65:3080
https_pares de llaves:
- key_file: /etc/pki/tls/private/teleport1.key
cert_file: /etc/pki/tls/certs/teleport1.crt
¿Cómo configurar el servicio Teleport e iniciar el servicio?
Aquí, crearemos un servicio systemd para el servicio de teletransporte con los comandos:
$ sudo vim /etc/systemd/system/teleport.service
[Unit]
Description=Teleport SSH Service
After=network.target
[Service]
Type=simple
Restart=on-failure
EnvironmentFile=-/etc/default/teleport
ExecStart=/usr/local/bin/teleport start --pid-file=/run/teleport.pid
ExecReload=/bin/kill -HUP $MAINPID
PIDFile=/run/teleport.pid
LimitNOFILE=8192
[Install]
WantedBy=multi-user.target
Ahora, ejecute los siguientes comandos para recargar el demonio, habilitar e iniciar el servicio:
$ sudo systemctl daemon-reload
$ sudo systemctl start teleport
$ sudo systemctl enable teleport
Para verificar el estado del servicio de teletransporte, ejecute el comando:
$ sudo systemctl status teleport.service
¿Cómo crear el usuario de teletransporte con la configuración de autenticación de dos factores?
Para iniciar sesión, debe tener un usuario con el privilegio correcto. De forma predeterminada, Teleport impone el uso de la autenticación de dos factores, por lo que estamos creando un usuario con el nombre de usuario administrador-usuario utilizando la autenticación de dos factores con el uso del autenticador de Google. También puede usar otras formas de autenticación disponibles en las opciones.
Ejecute el comando como se muestra a continuación para crear el usuario:
$ sudo tctl users add admin-user --roles=editor,access --logins=root,ubuntu,linuxapt
Como puede ver, proporcionamos roles de editor y acceso a este usuario como privilegio de administrador y usuarios como root, ubuntu o linuxapt pueden iniciar sesión en los servidores en los servidores del clúster de Teleport.
Después de ejecutar el comando anterior, verá el enlace para crear una contraseña para el usuario.
Ahora, exploremos el sitio y creemos una contraseña para el usuario con el uso de la autenticación de dos factores.
Después de hacer clic en crear cuenta, se mostrará el tablero de la interfaz de usuario web de Teleport. Notará su usuario recién creado con la lista de nodos privilegiados para el usuario.
¿Cómo agregar un nodo al clúster?
Para agregar un nuevo nodo al grupo de teletransporte,
Primero inicie sesión en el telepuerto:
$ tsh login --proxy=tele.example.com --auth=local --user=admin-user
Genere un token con un límite de tiempo específico, aquí estamos limitando el tiempo de 1 hora:
$ tctl tokens add --type=node --ttl=1h
Ahora descargue el paquete de teletransporte a su nuevo nodo. En nuestro caso, nuestro nuevo nodo se ejecuta con el sistema operativo Ubuntu. Para eso, sigue el proceso de instalación:
$ curl https://deb.releases.teleport.dev/teleport-pubkey.asc | sudo apt-key add -
$sudo add-apt-repository 'deb https://deb.releases.teleport.dev/ stable main'
$ sudo apt-get update
$ sudo apt install teleport
Ahora ejecute este comando en el nuevo nodo usando el token creado con el comando anterior:
$ teleport start \
Como en nuestro caso, el nombre de host es testingserver, por lo que podemos verificarlo navegando en el sitio de Teleport WEB-UI y verificando la sección de servidores.
¿Cómo acceder al servidor agregado?
Ahora, el nuevo nodo se ha agregado con éxito, por lo que es fácilmente accesible con la IU WEB o el terminal simplemente haciendo clic en conectar y accediendo con la opción de usuario preferida en la lista.
En nuestro caso, seleccionamos root como usuario y luego se abrirá la siguiente pestaña donde se puede acceder al nuevo servidor de nodos.