远程端口4.3：OpenSSH的现代替代品

我们很兴奋地宣布Teleport4.3的发布--新的UI、API驱动、扩展的审计功能，并且仍然是开源的。这个版本太重要了，我们差点叫它5.0！在这篇文章中，我们将介绍主要的新功能，您将看到为什么我们称它为“远程端口”。

远程端口4.3现在可供下载。对于那些没有听说过Teleport的人，这里有一个快速介绍：

Teleport是OpenSSH的开源、现代插件替代品，OpenSSH除了支持SSH之外，还支持Kubernetes。远程端口消除了对VPN的需求，配备了漂亮的新Web UI，并提供对所有云环境和边缘设备的无缝访问。远程传送非常容易设置和使用。

您可以在上面的插图中看到这一景象。这个辉煌的门户将加密光束辐射到您所有的云和智能设备中，并连接到它旁边看起来严肃的审核日志设备。这就是聪明的工程师应该如何访问基础设施：从任何地方，到任何地方，就像人类从未来旅行一样！

根据我们的商业许可，我们还为大型企业客户提供具有增强的RBAC和扩展的单点登录功能的Teleport 4.3。这里描述了不同之处。

当我们开始使用重力时，我们为该工具选择了远程端口这个名称，因为我们希望每个工程师都能感觉到，他们组织的所有计算机和服务器都可以神奇地远程传输到与他们相同的房间(LAN)中。

在向您发布一大堆截图之前，让我们先来回顾一下这个版本中的所有新功能：

全新的Web UI。更新的用户界面终于使Web UI的功能与命令行(CLI)客户端平起平坐。

审核日志视图允许管理员查看所有安全事件的详细情况，而不仅仅是记录的会话。

该接口。我们的用户已经要求这个很长时间了！我们从一个插件API开始，允许远程端口管理员自定义提升用户权限的方式，并且我们提供了开箱即用的Slake和PagerDuty集成。

自从最初发布以来，我们还没有接触过Teleport的Web用户界面。但压力在不断增加：

Windows或平板电脑用户希望我们的Web用户界面像真正的命令行客户端一样强大。他们想要为群集、机器添加书签，只需单击一下即可即时访问它们。我们一直希望能够说，您可以从任何地方将自己传送到SSH服务器或Kubernetes集群，而无需添加“只要您有shell”。

设计良好的图形用户界面便于边做边学。我们希望刚接触Teleport的用户能够在15分钟内完成所有设置，并通过探索快速了解Teleport的所有超强功能。

此外，我们的用户体验团队自早期以来已经发展壮大，因此现有用户应该会从新UI更快的导航和更大的灵活性中受益。

Teleport最初的愿景是消除人与基础设施之间的物理界限。我们一直觉得没有特权网络的零信任原则是不够的。我们一直希望工程师能够安全地连接到基础设施，无论网络和物理位置如何，也不管服务器在哪里。蔚蓝？AWS？在餐厅地下室还是自动驾驶汽车里？应该没有什么不同。

Teleport一直通过物联网模式支持此功能，但它已隐藏在《管理手册》中，仅供命令行专家使用。带有集群视图的新web用户界面将此功能置于最重要的位置。这就是为什么我们叫它传送！

现在发生了什么事？很少有DevOps工程师能够就其基础设施轻松回答此问题。是否有任何SSH会话处于打开状态？有人坐在库伯内斯的吊舱里吗？有人在生产机器上运行curl|bash吗？如果是这样，那么这个脚本到底做了什么呢？

我们建立Teleport的日志记录和审计功能已经有一段时间了。我们在博客中介绍了如何将SSH会话转换为可审计的事件。但同样，此功能是为命令行勇士保留的，您需要使用外部工具来检查审计信息。

4.3版最终引入了一种图形化的方式来研究您的基础设施上正在发生的事情-现在和昨天都是如此。

您是否考虑过使用API来控制贵组织对SSH服务器和Kubernetes集群的访问？其中一种最常见的用例是针对安全敏感操作提供保护。

例如，让我们假设生产环境中有几个数据库服务器。对数据库本身的访问是加密和保护的。但每隔一段时间，数据库管理员Bob就需要在这些机器上获得shell访问权限。显然，这不应该是经常发生的事情，如果有另一个人提供第二组眼睛来增加安全性，那将是一件很好的事情。在一些组织中，这被称为四眼政策。

使用此新API，您可以设计权限提升工作流，其中Bob可以通过命令行请求提升其权限：

在Bob等待期间，安全团队收到一条关于Slake(或PagerDuty)的消息，要求批准该请求：

他要做的一切都将记录在审计日志中：既有像命令执行这样的结构化事件，也有他的按键的类似视频的馈送，称为会话记录。

正如你可以从这篇博客截图的数量中看到的那样，这个版本完全是关于用户体验的，但还有更多的东西。

要查看错误修复、改进和文档更新的完整列表，可以访问Github里程碑。

但我们也让学习Teleport变得更容易，请查看我们网站上的新部分：