Aller au contenu principal

Open Bastion

Overview

Open Bastion est un bastion SSH centralisé développé par Linagora, permettant de gérer les accès SSH et sudo via une autorité centrale avec intégration SSO (Single Sign-On) via LemonLDAP::NGOpen Bastion utilise des modules PAM/NSS pour contrôler l'accès SSH et sudo, supporte les tokens OIDC et les clés SSH, et offre un audit complet des sessions avec journalisation et rate limitingIl est particulièrement adapté à la gestion centralisée des accès SSH dans un parc de serveurs, au renforcement de la sécurité des accès, et à la conformité avec politiques d'accès strictes.

Open Bastion se distingue par sa centralisation des accès SSH et sudo, son intégration SSO (LemonLDAP::NG), ses modules PAM/NSS, son audit complet, et son rôle dans la gouvernance des accès pour infrastructures distribuées.

Informations essentielles

PropriétéValeur
Site officielhttps://github.com/linagora/open-bastion
LicenceAGPL-3.0
NationalitéFrançais
TypeBastion SSH centralisé / PAM
DéploiementInstallation système, Python
DifficultéIntermédiaire à avancé
TechnologiesPython, PAM, NSS

TL;DR

Open Bastion est idéal pour gestion centralisée des accès SSH/sudo avec SSO, modules PAM/NSS, audit complet, et gouvernance des accès pour infrastructures distribuées.

Points clés à retenir :

  • Bastion SSH centralisé
  • Contrôle d'accès sudo centralisé
  • Intégration SSO (LemonLDAP::NG)
  • Modules PAM/NSS
  • Audit complet des sessions
  • Rate limiting et sécurité renforcée

Cas d'usage

  • Gestion centralisée des accès : Gérer les accès SSH et sudo depuis une autorité centrale
  • Conformité et audit : Journaliser et auditer tous les accès pour conformité
  • Sécurité renforcée : Renforcer la sécurité des accès avec contrôle centralisé
  • Grands environnements : Gérer les accès dans des parcs de serveurs importants
  • SSO pour SSH : Offrir Single Sign-On pour les accès SSH

Compatibilité et intégrations

  • Compatible Linux (modules PAM/NSS)
  • Intégration SSO via LemonLDAP::NG (version ≥ 2.21.0)
  • Support tokens OIDC et clés SSH
  • Modules PAM/NSS pour contrôle d'accès
  • Audit et journalisation complète
  • Rate limiting pour sécurité
  • Cache JWKS pour performance

Avantages

  • Centralisation des accès SSH et sudo
  • Intégration SSO (LemonLDAP::NG)
  • Audit complet des sessions
  • Sécurité renforcée avec contrôle centralisé
  • Gouvernance des accès simplifiée
  • Rate limiting pour protection
  • Modules PAM/NSS pour intégration système

Limites

  • Nécessite LemonLDAP::NG (dépendance forte)
  • Configuration complexe pour mise en place initiale
  • Nécessite modules PAM/NSS sur tous les serveurs
  • Courbe d'apprentissage pour migration depuis système existant
  • Overhead potentiel pour grands parcs
  • Projet en développement actif

Quand le choisir

Choisis Open Bastion si :

  • Tu as besoin de centraliser les accès SSH dans un grand parc de serveurs
  • Tu veux intégrer SSO pour les accès SSH
  • Tu as besoin d'audit complet des accès pour conformité
  • Tu utilises déjà ou peux déployer LemonLDAP::NG
  • Tu veux renforcer la gouvernance des accès

Évite Open Bastion si :

  • Tu n'as pas besoin de centralisation des accès
  • Tu ne veux pas déployer LemonLDAP::NG
  • Tu préfères des solutions cloud (AWS Systems Manager Session Manager, etc.)
  • Tu as un parc très petit avec accès simples

Alternatives

  • JumpServer : PAM open-source avec interface web, plus mature
  • AWS Systems Manager Session Manager : Solution cloud pour accès sécurisé
  • Teleport : Solution moderne pour accès sécurisé avec SSO
  • Gravitational Teleport : Accès sécurisé avec SSO et audit

Ressources