02架构 14 跳板机

最新推荐文章于 2024-05-27 09:22:35 发布
最新推荐文章于 2024-05-27 09:22:35 发布
阅读量104 收藏
点赞数
分类专栏: Linux # Linux 基础 文章标签: 架构 ssh linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcywww/article/details/121651493
版权
该博客详细介绍了如何对跳板机m01进行安全配置,包括启动并配置防火墙、修改SSH连接端口、禁止root登录和密码登录,以及通过生成密钥对并分发到其他服务器来实现无密码登录。同时,还展示了如何关闭部分机器的外网访问,并通过跳板机连接所有机器。此外,还提到了使用防火墙实现内部上网的IP转换设置。
摘要由CSDN通过智能技术生成

跳板机m01安全配置

1.启动防火墙
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# systemctl enable firewalld

2.配置防火墙
[root@m01 ~]# systemctl stop NetworkManager
[root@m01 ~]# firewall-cmd --remove-interface=eth1 
success
[root@m01 ~]# firewall-cmd --permanent --remove-service={ssh,dhcpv6-client}
success
[root@m01 ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'
success
[root@m01 ~]# vim /usr/lib/firewalld/services/ssh.xml
<port protocol="tcp" port="2020"/>
#重载防火墙配置
[root@m01 ~]# firewall-cmd --reload

3.修改连接跳板机端口,禁止root登录,禁止使用密码登陆
[root@m01 ~]# vim /etc/ssh/sshd_config
 17 Port 2020
 38 PermitRootLogin no
 63 PasswordAuthentication no
[root@m01 ~]# systemctl restart sshd

4.xshell生成密钥对,并将公钥放于管理机普通用户下
[root@m01 ~]# useradd lhd
[root@m01 ~]# su lhd
[lhd@m01 root]$ cd
[lhd@m01 ~]$ mkdir .ssh
[lhd@m01 ~]$ vim .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAs9Oazu4cBtsNkfzbAqU6qLf67JOjKakVurbBJJBSpgyUsdUT5dReimXxzcnoQzC3zqQ4T5rLBxRWcu0j3x+JOrb7RXSLKI43VrYLVtPucvo5+6TGEitKKFm3F0gOCiXfH3PE/YNODrfvXDHSocza2DjFPWsLCSImR12q736hDes= rsa 1024-010720
[lhd@m01 ~]$ chmod 700 .ssh/
[lhd@m01 ~]$ chmod 600 .ssh/authorized_keys

使用跳板机管理所有机器

#1.生成密钥对,将公钥发送给所有服务器
[lhd@m01 ~]$ su -
Password: 
Last login: Tue Jan  7 16:42:31 CST 2020 from 10.0.0.1 on pts/0
[root@m01 ~]# ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:nm45DrdRcidakKmFVYM6hqygb7waMNdJA0UHIIlMSWg root@m01
The key's randomart image is:
+---[RSA 2048]----+
|B++++.. .oo      |
|+E . . o.o .     |
|.  .o...=        |
|.  ooo+o .       |
|+...o...S = .    |
|oo.    . B o     |
|.o    . *.       |
| .+    ++o       |
|.o..   o+.       |
+----[SHA256]-----+

#手动推送公钥
[root@m01 ~]# echo '172.16.1.'{4,5,6,7,8,9,31,41,51,71}|xargs -n1 sshpass -p 1 ssh-copy-id -o StrictHostKeyChecking=no

#用脚本推送公钥到所有主机
[root@m01 ~]# vim ssh-keygen.sh
#!/bin/bash
#免交互分发公钥
for ip in 7 8 9 31 41 51 71
do
sshpass -p 1 ssh-copy-id -o StrictHostKeyChecking=no "root@172.16.1.$ip"
done

#推送公钥时不用输入yes确认
ssh-copy-id -o StrictHostKeyChecking=no
#推送公钥时不用输入密码,1就是密码
sshpass -p 1
[root@m01 ~]# yum install sshpass
[root@m01 ~]# sh ssh.sh

#2.关闭除m01/lb01/lb02以外的所有机器的外网
[root@web01 ~]# ifdown eth0
...  ...

#3.使用m01连接所有的机器
[lhd@m01 ~]$ su -
Password: 
Last login: Tue Jan  7 17:08:54 CST 2020 on pts/1
[root@m01 ~]# ssh 172.16.1.7
Last login: Tue Jan  7 17:20:41 2020 from 10.0.0.1
[root@web01 ~]# 

#4.给所有机器创建用户
[root@m01 ~]# groupadd www -g 666
[root@m01 ~]# useradd www -u 666 -g 666

使用防火墙实现内部上网

#1.m01开启ip转换
[root@m01 ~]# firewall-cmd --add-masquerade 
[root@m01 ~]# firewall-cmd --add-masquerade --permanent

#2.修改其他没有外网的机器网关和DNS
[root@web01 ~]# vim /etc/resolv.conf 
nameserver 223.5.5.5
[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61
[root@web01 ~]# systemctl restart network
#重启网卡会恢复关闭的eth0
睡神之首
关注
专栏目录
什么是堡垒机?和跳板机是一个概念吗?
网络技术联盟站
06-05 1286
堡垒机,又称运维审计系统、跳板机,是一种位于内部网络与外部网络之间的安全防护设备,它充当了一个“中间人”的角色,所有对内部网络资源的远程访问都必须通过堡垒机进行。这一设计的核心目的,在于严格控制和记录所有进出网络的访问行为,确保敏感信息资产的安全。简而言之,堡垒机是企业网络边界的一道坚固防线,为内部网络提供了一层额外的保护屏障。
ssh-keygen和ssh-copy-id实现SSH无密码登录
热门推荐
翟海飞
01-15 1万+
安装了jumpserver跳板机,通过跳板机登录到各个服务器,因此想实现ssh无密码登录,用ssh-keygen和ssh-copy-id实现。 ssh-keygen:  generates, manages and converts authentication keys for ssh              创建公钥和密钥 ssh-copy-id: a script that
Linux 批量设置免密登入脚本
秦子腾
12-24 1612
#!/bin/bash USER=root PASS=111 rm -f /root/.ssh/id_rsa (ssh-keygen -P "" -f /root/.ssh/id_rsa) &>/dev/null (yum -y install sshpass) &>/dev/null ## 在'{ }'中定义范围 如下举例 4为起始 250为结束 for i in {49..60} do ## 在IP_host变量中定义网段 IP_host=10.10.14.${
@jumpserver跳板机使用详解
ଲ一笑奈@何
06-14 3165
jumpserver 一、jumpserver堡垒机 1、jumpserver简介 Jumpserver是一款由python编写, Django开发的开源跳板机/堡垒机系统, 助力互联网企业高效 用户、资产、权限、审计 管理的跳板机 (jumpserver官网) (jumpserver文档) 1、jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统 2、Jumpserver 使用 Python / Django 进行开发,遵循
堡垒机(跳板机、Jump Server)
最新发布
Dontla的博客
05-27 665
堡垒机(又称跳板机或Jump Server)主要功能是在网络的入口处提供一个受控和安全的环节,使得所有远程访问内部网络的请求都必须经过这一“安全关口”。
jumpserver 跳板机系统
maibm的博客
01-04 676
发现一款开源的跳板机系统,测试过还是很方便使用的,关键还免费,完全可以拿来直接做跳板机管理机房服务器系统。源码地址为https://github.com/jumpserver/jumpserver.git  安装方法见官网http://docs.jumpserver.org/zh/docs/step_by_step.html有详细步骤。系统总体架构如下图: 安装完后进入后台,默认用户admi...
一种跳板机的实现思路
vivo互联网技术
06-28 166
本文介绍了一种跳板机实现思路,阐述了基本原理,并讲解了特点和相对优势。
开源跳板机Jumpserver
浅抒流年的博客
08-20 275
总体介绍 欢迎来到 Jumpserver 文档。 Jumpserver 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。 Jumpserver 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。 Jumpserver 采纳分布式...
linux跳板机权限管理,开源跳板机(堡垒机)Jumpserver v0.2.0 使用说明
weixin_39889792的博客
04-29 852
说明视频:更新log截图篇:http://laoguang.blog.51cto.com/6013350/1635853本篇是使用篇一. 用户管理Jumpserver 2.0.0 版本中增加了部门管理员角色,可以负责管理一个部门的成员和该部门的主机,如果有需要请添加部门,如果服务器或用户较少可以不添加部门和部门管理员1.1 添加部门用户管理 -- 添加部门1.2 添加部门管理员用户用户管理 --...
linux通过跳板机连接远程服务器并进行文件传输的方法
09-14
跳板机通常用于多级安全架构,它作为一个中间节点,允许管理员从一个安全区域进入另一个更敏感的区域。以下将详细介绍如何使用Linux通过跳板机连接远程服务器并进行文件传输。 首先,我们需要确保已经安装了SSH...
开源跳板机jumpserver安装包
04-09
跳板机Jumpserver的安装过程中,首先我们需要理解其核心概念和技术架构。Jumpserver基于Python开发,使用Django框架作为后端,提供Web界面进行交互。其主要组件包括: 1. **基础服务**:这是系统运行的基础,包括...
通过跳板机远程访问
02-26
在企业网络架构中,由于内网中的敏感资源不能直接暴露在互联网上,SSH跳板机便应运而生,它充当了一个安全的入口点,所有对外的连接请求都必须首先经过跳板机,再由跳板机转发至目标主机。 ### 设置SSH跳板机访问...
02架构 03.3 Nginx 详细配置
mcywww的博客
12-01 3748
Nginx 和 Tomcat 静态页面访问速度 nginx 是所有 web 服务中处理静态资源速度最快的 配置 Nginx 页面 #配置nginx [root@web01 ~]# vim /etc/nginx/conf.d/ab.linux.com.conf server { listen 80; server_name ab.linux.com; location / { root /code/ab; try_files $uri $uri/ @
02架构 05.1 nginx 负载均衡
mcywww的博客
12-01 2305
负载均衡 理论 # 负载均衡 --- Load Balance [loʊd ˈbæləns] # 负载均衡的提供商 ULB:ucloud SLB:阿里云 CLB:腾讯云 QLB:七牛云 ECS-业务服务器 OSS-数据存储服务器,类似NFS Redis-缓存 RDS-关系型数据库 CDN-内容分发网络,各地建立缓存服务器 # 负载均衡的作用 将收到的请求,平均分配到后端服务器,当一台服务器出现问题,不影响业务 提高并发,提升响应速度,高容灾性 # 负载均衡类型 # 4层负载均衡不识别域名 传输层
02架构 04.1 单机 LNMP
mcywww的博客
12-01 2185
LNMP概述 L Linux 操作系统 N Nginx 类似于Apache的一种web服务软件 可以做高性能的HTTP和反向代理服务器,也可以做IMAP/POP3/SMTP代理服务器 M MySQL 关系型数据库管理软件,一般指MySQL,也可以指MariaDB P PHP 一般指PHP,也可以指Perl或Python LNMP 是Linux Nginx MySQL PHP的简写,将Nginx MySQL PHP安装在Linux系统上,组成一个环境来运行php的脚本语言。 这四种软件均为免费软件,
02架构 07 http https
mcywww的博客
12-01 1586
HTTP 协议 HTTP 概述 全称:`Hyper Text Transfer Protocol` 中文名:超文本传输协议 超文本:包含有 超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接,形成网状(Web),因此又被称为网页(Web Page)。这些链接使用URL表示。最常见的超文本格式是超文本标记语言HTML。 用简单的话说:HTTP去我们的服务器拿取文件,解析URL后展示成页面给我们看 URL `URL`即统一资源定位符(Uniform Resource Lo
02架构 11 建站示例
mcywww的博客
12-04 1048
部署 小游戏网站 下载游戏代码 在 gitee 上搜索【例如】:mario、2048、蜘蛛纸牌、贪吃蛇 https://search.gitee.com/ 配置游戏站点目录 mkdir /code/game unzip -q mario.zip mv html/ /code/mario chown -R www.www /code 编辑配置文件 cat > /etc/nginx/conf.d/mario.game.com.conf << EOF server { listen
硬件监控 与 统计: PV UV IP
mcywww的博客
03-31 903
硬件监控 与 统计: PV UV IP硬件监控监控对象监控方法统计PV UV IP统计方法matomo 搭建搭建一个测试用论坛命令行操作discuz 页面配置搭建 matomo命令行操作matomo 页面配置GoAccess1、GoAccess介绍2、GoAccess安装3、Goaccess配置4、页面展示 硬件监控 监控对象 物理硬件监控:CPU温度 风扇的转速 主板的温度 电压 功率 监控方...
跳板机部署内网服务器经验分享与问题解决
在这篇文档中,作者分享了他们的一次通过跳板机部署内网服务器的经历。首先,他们面临的一个挑战是无法直接连接到配置参数下发服务器,因为网络结构限制,需要借助跳板机作为中转。跳板机在这里扮演着安全角色,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值