跳板机的工作原理和简单的跳板机实现
一、了解跳板机
跳板机(Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一。
跳板机是网络中容易受到侵害的主机,所以跳板机也必须是自身保护完善的主机。通常至少配备两块网卡设备,分别具备不同的网络连接。一个连接外网,用以对目标服务器的远程登录及维护;另一个则连接内网,便于内部网络的管理、控制和保护,通过网关服务提供从私网到公网,或从公网到私网的特殊协议路由服务。
二、实验:简单的跳板机的实现
1.实验要求
1. 跳板机上为每个开发人员创建一个账号,并且只能在指定的目录里管理自己的文件。
2. 线上生产服务器,禁止使用root用户远程登录。
3. 线上生产服务器sshd服务不允许使用默认端口,防止黑客通过端口扫描。
4. 线上生产服务器上开发人员使用的账号code用户的密码使用工具随机生成。
2.任务分析
1.在跳板机上为开发人员创建账号
2.公共目录需要有高级权限
3.禁止root用户远程登录系统
4.更改ssh协议的端口号
5.内网环境下安装软件
3.实验拓扑图
4.实验环境的介绍
1.PC为本机,已禁用VMware网卡1,本机IP为192.168.39.39/2
2.Jump-server为centos6虚拟机,安装两块网卡,ip分别为192.168.189.132/24; 1192.168.189.132/24,跳板机能够ping通PC和Service
3.service为Centos6虚拟机,安装一块网卡,IP为192.168.189.128
4.目前PC端无法连接192.168.189.0/24网段的所有IP
5.两个Centos均安装openssh-client和openssh-service
5,实验具体步骤
1.创建用户并增加相应权限
[root@jiangfeng1 ~]# groupadd coding [root@jiangfeng1 ~]# useradd -G coding code1 [root@jiangfeng1 ~]# useradd -G coding code2 [root@jiangfeng1 ~]# echo 123456 | passwd --stdin code1 更改用户 code1 的密码 。 passwd: 所有的身份验证令牌已经成功更新。 [root@jiangfeng1 ~]# echo 123456 | passwd --stdin code2 更改用户 code2 的密码 。 passwd: 所有的身份验证令牌已经成功更新。 [root@jiangfeng1 ~]# mkdir -p /code/data [root@jiangfeng1 ~]# chown :coding /code/data/ [root@jiangfeng1 ~]# chmod 1770 /code/data/ [root@jiangfeng1 ~]# ll -d /code/data/ drwxrwx--T 2 root coding 4096 7月 20 03:33 /code/data/
2.禁止root远程登录和更改默认端口号
在Service端更改ssh服务的配置文件,
vi /etc/ssh/sshd-config
注:尽量不要更改配置文件注释的信息,如若需要更改,先复制一行在进行更改。
3.用户密码随机
因为我的service端为仅主机模式,所以无法连接互联网,所以我需要在Jump-service缓存下安装包,在通过scp发送到service端。
[root@jiangfeng1 network-scripts]# yum install pwgen ………… 已安装: pwgen.x86_64 0:2.08-1.el6 完毕! [root@jiangfeng1 6]# scp -P 10001 /var/cache/yum/x86_64/6/epel/packages/pwgen-2.08-1.el6.x86_64.rpm code@192.168.189.128:/tmp The authenticity of host '[192.168.189.128]:10001 ([192.168.189.128]:10001)' can't be established. RSA key fingerprint is df:28:9d:09:a3:bf:52:a6:e5:ce:f2:a4:04:0d:b8:cc. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.189.128]:10001' (RSA) to the list of known hosts. code@192.168.189.128's password: pwgen-2.08-1.el6.x86_64.rpm 100% 25KB 24.5KB/s 00:
[root@jiangfeng1 6]# pwgen -cnsB1 15 1 ajxmHfcUaT4Azht [root@jiangfeng1 6]# echo ajxmHfcUaT4Azht | passwd --stdin code
4.测试
1.从PC端直接连接service
无法连接service。
2.从PC端通过Jump-service远程service
验证成功!!!