# commandgate **Repository Path**: haison/commandgate ## Basic Information - **Project Name**: commandgate - **Description**: 运维命令管控与审计网关。用户通过标准 SSH 客户端连接平台,平台展示可用资源,用户选择后代理连接,全量审计并过滤高危命令。 - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 0 - **Forks**: 0 - **Created**: 2026-07-05 - **Last Updated**: 2026-07-05 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # CommandGate — 运维命令管控与审计网关 企业运维团队往往面临这些困扰: > **"服务器 root 密码在微信群里传来传去,离职了一个人就要改一轮密码。"** > > **"半夜数据库被删了,查了半天不知道是谁干的,也没有操作记录。"** > > **"总担心运维同事不小心执行了 rm -rf /,等保审计又过不了。"** **CommandGate** 就是解决这些问题的工具。 --- ## 它能做什么? ### 1. 统一入口 + 一键直达 运维人员只需要一个 `ssh` 命令就能连接到平台上**所有**服务器、交换机、路由器、防火墙,不用再记忆每台设备的 IP、端口、密码。 - 支持密码登录和 SSH 密钥登录 - 知道设备名称可以直接直达:`ssh user@gate -- web-prod-01` - 也可以像点菜一样在菜单里选择目标 - 你不需要知道目标设备的密码——密码由 CommandGate 安全托管 ### 2. 每个人只能看到他能访问的设备 管理员可以精细控制: - 张三能看到哪些服务器,李四能看到哪些 - 张三能使用 root 账号还是只能用普通账号 - 工作日才能访问,还是周末也能 - 只能看,还是能执行命令 ### 3. 高危命令自动拦截 CommandGate 内置了覆盖 Linux 系统和网络设备(华为、思科、华三等)的常见高危命令规则,开箱即用: - `rm -rf /`、`mkfs.*`、`dd if=/dev/zero` 等**直接禁止** - `reboot`、`shutdown`、`iptables -F` 等**需要授权** - `passwd root`、`visudo` 等**记录并告警** 管理员也可以随时添加自定义规则。重要的是——**规则是在命令到达目标设备之前拦截的,不是事后才记录**。 ### 4. 所有操作全程录像 每一次登录、每一条命令、每一个文件传输都被完整记录下来: - 像监控录像一样可以回放整个操作过程 - 精确到每一秒钟、每个按键 - 管理员可以在 Web 后台搜索某条可疑命令 ### 5. 凭据安全管理 所有目标设备的密码和 SSH 密钥由 CommandGate 加密保管(AES-256-GCM 加密),用户不需要知道密码就能连接目标设备。运维人员离职了,不需要改密码——直接禁用他的 CommandGate 账号即可。 --- ## 适用场景 | 场景 | 解决什么问题 | |------|------------| | **等保 2.0 / ISO 27001 合规审计** | 等保三级要求"运维操作全量审计、高危命令拦截"——CommandGate 直接满足要求 | | **混合云/多数据中心管理** | 无论服务器放在阿里云、腾讯云还是自建机房,一个入口统一管理 | | **运维团队 5 人以上** | 人越多,密码越难管、出事了越难溯源 | | **开发测试环境** | 控制开发人员对生产环境的访问权限,防止越权操作 | --- ## 快速体验 ```bash # 1. 部署(一行命令) docker compose up -d # 2. 管理员登录 Web 后台 打开 http://你的服务器:8080 录入你的服务器和账号 # 3. 运维人员连接 ssh 张三@你的服务器 -p 2222 张三输入密码 → 看到他能访问的服务器列表 → 选择一台 → 进入操作 # 4. 管理员查看审计 回看张三今天所有的操作记录 ``` --- ## 产品理念 **运维安全不应该以牺牲效率为代价。** 我们希望 CommandGate 是一个运维团队**喜欢用**而不是**被迫用**的工具。它的设计围绕三个原则: 1. **部署要快** — 10 分钟从下载到可用,不让运维在部署上花时间 2. **操作要爽** — 用你最熟悉的 SSH 客户端,而不是陌生的 Web 终端 3. **安全要硬** — 命令过滤是真的拦截,不是事后告警;审计日志是真的防篡改,不是写着玩 --- ## 获取帮助 - 项目地址: [https://gitee.com/haison/commandgate](https://gitee.com/haison/commandgate) - 问题反馈: 在 Gitee 上提交 Issue