远程管理与堡垒机

远程控制服务

服务器一般在机房，运维工程师不可能一直在机房，所以就需要远程连接。ssh可以选择密码或者密钥两种登录方式。
配置sshd服务
sshd是基于SSH协议开发的一款远程管理服务程序，不仅使用起来方便快捷，而且能够提供两种安全验
证的方法：

• 基于口令的验证—用账户和密码来验证登录；
• 基于密钥的验证—需要在本地生成密钥对，然后把密钥对中的公钥上传至服务器，并与服务器中的公钥进行比较；该方式相较来说更安全。

sshd服务的配置信息保存在 /etc/ssh/sshd_config 文件中。运维人员一般会把保存着最主要配置信息的文件称为主配置文件，而配置文件中有许多以井号开头的注释行，要想让这些配置参数生效，需要在修改参数后再去掉前面的井号。

sshd服务配置文件中包含的参数以及作用

安全密钥验证

• 对称加密：对称加密指的就是加密和解密使用同一个秘钥，所以叫做对称加密。对称加密只有一个秘钥，作为私钥。一旦密钥被别人拿去后就很危险
• 非对称加密：密钥分为公钥和私钥，加密和解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密。私钥加密的信息，只有公钥才能解密。私钥是绝对不会发出去的，只有自己知道。

安全密钥登录验证

1.在客户端主机中生成密钥对

生成密钥对
[root@server1 ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:z32MwiujMmuQFv4HaURusITFj+T40dFrcjuzpyLz3Kc root@server1
The key's randomart image is:
+---[RSA 2048]----+
| +.  .           |
|. = o .          |
| = O . .         |
|. * B +          |
| o * = .S        |
|  * + +  + . o   |
| . + . +  = o o  |
|  o.*.o =  o .   |
|   =+*E* o.      |
+----[SHA256]-----+

2.在客户端主机中生成的公钥文件传送至远程主机文件，也可以选择复制过去。

[root@server1 ~]# ssh-copy-id 192.168.120.147
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
The authenticity of host '192.168.120.147 (192.168.120.147)' can't be established.
ECDSA key fingerprint is SHA256:erDMRAFAsLUPlYHLz3zuQdcMNGOyxsduw6S2d1IzNSo.
ECDSA key fingerprint is MD5:4c:18:d1:38:a4:29:0b:c8:5c:e4:a8:73:63:26:b0:15.
Are you sure you want to continue connecting (yes/no)? yes
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.120.147's password: 
Permission denied, please try again.
root@192.168.120.147's password: 
Permission denied, please try again.
root@192.168.120.147's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh '192.168.120.147'"
and check to make sure that only the key(s) you wanted were added.

3.对服务器进行设置，在/etc/ssh/sshd_config里设置其只允许密钥验证，拒绝传统的口令验证方式。记得在修改配置文件后保存并重启sshd服务程序。

[root@server1 ~]# vim /etc/ssh/sshd_config
文件内：
65 PasswordAuthentication no

[root@server1 ~]# systemctl restart sshd

4.在客户端尝试登录到服务器，此时不需要输入密码也可以登录。

[root@server1 ~]# ssh 192.168.120.147

不间断会话服务

当与远程主机的会话被关闭时，在远程主机上运行的命令也随之被中断。screen可以实现会话不中断。
screen是一款能够实现多窗口远程控制的开源服务程序，简单来说就是为了解决网络异常中断或为了同时控制多个远程终端窗口而设计的程序。用户还可以用screen服务程序同时在多个远程会话中自由切换，能够做到实现如下功能：

• 会话恢复：即便网络中断，也可让会话随时恢复，确保用户不会失去对远程会话的控制。
• 多窗口：每个会话都是独立运行的，拥有各自独立的输入输出终端窗口，终端窗口内显示过的信息也将被分开隔离保存，以便下次使用时依然能看到之前的操作记录。
• 会话共享：当多个用户同时登录到远程服务器时，便可以使用会话共享功能让用户之间的输入输出信息共享。

yum install screen -y

管理远程会话

screen命令能做的事情

• 用 -S 参数创建会话窗口
• 用 -d 参数将指定会话进行离线处理
• 用 -x 参数一次性恢复所有的会话
• 用 -ls 参数显示当前已有的会话
• 用 -wipe 参数把目前无法使用的会话删除

开启终端：

[root@localhost ~]# screen -S window

虽然看起来与刚才没有不同，但实际上可以查看到当前的会话正在工作中

[root@localhost ~]# screen -ls
There is a screen on:
7758.window (Attached)
1 Socket in /var/run/screen/S-root.

要想退出一个会话也十分简单，只需在命令行中执行exit命令即可
在日常的生产环境中，其实并不是必须先创建会话，然后再开始工作。可以直接使用screen命令执行要运行的命令，这样在命令中的一切操作也都会被记录下来，当命令执行结束后screen会话也会自动结束

[root@localhost ~]# screen ping -c 4 baidu.com
[screen is terminating]
[root@localhost ~]#

堡垒机：

当今的时代是一个信息化社会，信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员
掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给[企业]或单位带来巨大的损失。因此,加
强对运维人员操作行为的监管与审计是[信息安全]发展的必然趋势。在此背景之下,针对运维操作管理与
审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案，使得管理人员可
以全面对各种资源(如[网络]设备、[服务器]、安全设备和[数据库]等)进行集中账号管理、细粒度的权限管
理和访问审计，帮助企业提升内部风险控制水平。
堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，
而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操
作行为，以便集中报警、及时处理及审计定责。
目前国内外有很多厂商生产堡垒机，堡垒机目前有两种最主流的形式。
硬件堡垒机：厂商定制硬件设备，并且将软件系统封装在其中，比较封闭，安全系数较高
软件堡垒机：厂商仅仅维护软件堡垒机系统，需要客户自己部署堡垒机，可以虚拟化形式，部署自由
程度高
管理整个公司的硬件软件资源
开源软件：JumpServer

核心功能：

• 登录功能
• 账号管理
• 身份认证
• 资源授权
• 访问控制
• 操作审计