一、什麼是跳板機
跳板機(Jump Server),也叫堡壘機、跳轉機、中轉機,是指在一台網路通過跳板機可以訪問無法直接訪問的另一台網路上的伺服器。跳板機可以提升網路的安全性,同時也可以提高跨網路的訪問效率。
跳板機一般為一台可信賴的伺服器,通過遠程桌面協議(RDP)等遠程登錄方式,將其它網路中的伺服器的操作集中在一個位置管理,同時通過代理方式,為用戶提供透明的遠程登錄服務。
二、跳板機的搭建流程
1. 環境介紹
本文以CentOS 7系統為例子,使用OpenSSH來實現跳板機的搭建。
2. 安裝OpenSSH
使用yum命令安裝OpenSSH:
yum install openssh-server -y
3. 配置sshd_config文件
編輯/etc/ssh/sshd_config文件:
vi /etc/ssh/sshd_config
設置以下配置信息:
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/libexec/openssh/sftp-server
UsePAM yes
Match User myuser
PasswordAuthentication no
AuthenticationMethods publickey
註:其中myuser為具體的用戶名,以上配置只允許使用公鑰身份認證方式登錄。
4. 創建用戶
使用用戶密碼登錄跳板機會存在密碼泄露的風險,所以推薦使用密鑰對來訪問跳板機。
首先需要新建一個用戶,並設置密碼:
adduser myuser passwd myuser
5. 創建密鑰對
在本地生成密鑰對,並將公鑰上傳到跳板機上:
ssh-keygen -t rsa ssh-copy-id myuser@your-jump-server-ip
註:your-jump-server-ip為跳板機的IP地址。
6. 啟動跳板機服務
啟動sshd服務並設置開機自動啟動:
systemctl start sshd systemctl enable sshd
三、跳板機的使用
1. 登錄跳板機
使用ssh命令登錄跳板機:
ssh myuser@your-jump-server-ip
註:your-jump-server-ip為跳板機的IP地址。
2. 登錄目標機器
從跳板機登錄目標機器,需要先在目標機器上設置SSH公鑰:
cat ~/.ssh/id_rsa.pub | ssh user@your-target-server-ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
註:其中user為目標機器的用戶名,your-target-server-ip為目標機器的IP地址。
然後使用ssh命令登錄目標機器:
ssh user@your-target-server-ip
註:其中user為目標機器的用戶名,your-target-server-ip為目標機器的IP地址。
3. 通過SCP複製文件
從跳板機複製文件到目標機器:
scp file.txt user@your-target-server-ip:/path/to/directory/
註:其中file.txt是需要傳輸的文件,user為目標機器的用戶名,your-target-server-ip為目標機器的IP地址,/path/to/directory/是文件需要存儲的目錄。
從目標機器複製文件到跳板機:
scp user@your-target-server-ip:/path/to/file.txt /path/to/directory/
註:其中user為目標機器的用戶名,your-target-server-ip為目標機器的IP地址,/path/to/file.txt是需要傳輸的文件,/path/to/directory/是文件需要存儲的目錄。
原創文章,作者:EUVFG,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/370300.html
微信掃一掃 
支付寶掃一掃 