更安全的堡垒机登录方法

技术小阿哥 2017-11-27

安全 架构 服务器 配置

Hi,all

目前现状:

每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:

wKiom1hBMsegdm7IAABpNyLkjIo282.jpg-wh_50

下面以SecureCRT为例:

堡垒机:192.168.85.128

后端服务器:192.168.85.130(此服务器只允许堡垒机登录)

1、SecureCRT生成公钥私钥

      首先“工具”-“创建公钥”

      

wKioL1hBMv_SkGFxAAHDMR8Z8Rk948.jpg-wh_50

wKiom1hBMwCCuP6IAAGMJRQqujs451.jpg-wh_50

wKioL1hBMwHCxJ-9AAHmqr3arVo922.jpg-wh_50

wKiom1hBMwHhIHHAAAHLHnqVLOU069.jpg-wh_50

wKioL1hBMwKDp0FVAAIZ6f4ucGg406.jpg-wh_50

2、配置ssh-agent

      wKioL1hBMx3Tstc6AAK92t-DGb4800.jpg-wh_50

 3、上传公钥到堡垒机和后端服务器并导入到authorized_keys

       ssh-keygen -i -f Identity.pub >> authorized_keys

 4、登录跳板机

       设置私钥登录堡垒机,此时跳板机没有你的私钥,私钥在你本地保存,

   

wKioL1hBM22wT8E4AAOGcdhoyoM347.jpg-wh_50

wKioL1hBM3HyBQxyAAXYFIhwqUc860.jpg-wh_50

        

5、通过跳板机登录到后端的192.168.85.130

     wKioL1hBM4fQp-amAAwmnM1EgTo953.jpg-wh_50

本人使用的是SecureCRT 使用别的客户端的同学可以参考:

https://www.vandyke.com/support/tips/agent_forwarding.html



还有一种是自己有linux服务器,需要在/etc/profile.d/目录放一个文件,文件已经在附件保存了。





本文转自 freeterman 51CTO博客,原文链接:http://blog.51cto.com/myunix/1878926,如需转载请自行联系原作者

登录 后评论
下一篇
云栖号资讯小编
5249人浏览
2020-07-13
相关推荐
堡垒机和防火墙有什么区别?
1138人浏览
2018-04-26 16:10:06
细说堡垒机与数据库审计
1875人浏览
2017-11-01 10:47:00
堡垒机 简介
1674人浏览
2013-01-16 20:48:20
阿里云通用安全设施配置
3604人浏览
2019-10-10 22:20:49
0
0
0
1061