ssh 堡垒机实验服务

已于 2024-03-05 23:02:29 修改
阅读量1k 收藏 11
点赞数 16
分类专栏: 计算机网络 文章标签: ssh php web安全
于 2024-03-05 22:59:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjsnbwjsj/article/details/136489867
版权

目录

 ##堡垒机(跳板机)

什么是跳板机?什么是堡垒机?

VPN: Virtual Private Network  虚拟专用网络:

访问策略的检查顺序:

什么是dmz区?

堡垒机实验的步骤:

1.在内网的web服务器上配置tcp wrappers策略,只允许jumpserver 能ssh过来,其他的机器都不可以

 2.确保堡垒机上的ssh服务是正常运行的

3.在防火墙服务器上启用snat和dnat功能

##建立一个脚本来选择进入的机器

#出现的问题

ssh 堡垒机实验

 ##堡垒机(跳板机)

什么是跳板机?什么是堡垒机?

跳板机和堡垒机其实就是内部的一台服务器,允许外面的机器可以ssh或者web连接进来,然后通过堡垒机或者跳板机再去访问内部其他的服务器,而且其他的服务器也做了安全上的限制,只允许堡垒机或者跳板机可以访问,这样做的目的是为了保护内网的服务器的安全。

外面的用户---》VPN-->进入公司内部---》ssh到跳板机---》内部的服务器上,进行控制

什么是dmz区?

DMZ(Demilitarized Zone)是指网络安全中的一个概念

jumpserver 是一个非常好的堡垒机软件

JumpServer 是什么?

JumpServer 堡垒机帮助企业以更安全的方式管控和登录各种类型的资产。

JumpServer 堡垒机支持事前授权、事中监察、事后审计,满足等保合规要求。

VPN: Virtual Private Network  虚拟专用网络:

虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

    VPN解决了什么问题? 其实就是让外网的用户访问到内网,需要对外网的用户进行认证,然后分配一个内部的ip地址,就可以访问内网了。

VPN网关: vpn服务器(硬件防火墙)

openvpn 可以实现vpn功能

ssh 服务: 远程控制linux系统的服务

sudo

iptables --->tcp wrappers

tcp wrappers 是一个端口过滤机制,可以理解为一个防火墙软件。

会对进出系统的数据包进行过滤

4、TCP_Wrappers访问策略

相关控制文件:/etc/hosts.allow(允许文件)、 /etc/hosts.deny(拒绝文件)

/etc/hosts.allow(允许文件) 白名单

/etc/hosts.deny(拒绝文件) 黑名单

访问策略的检查顺序:

1.先看hosts.allow里是否有允许的策略,如果有直接放行,如果没有,再去检查hosts.deny

2.如果hosts.deny里有拒绝的策略,直接拒绝,如果没有,则放行

[root@localhost ~]# vim /etc/hosts.allow

sshd:61.63.65.67,192.168.2.*

[root@localhost ~]# vim /etc/hosts.deny

sshd:ALL

====

iptables  -A INPUT -s 192.168.5.99 -p tcp --dport 22 -j ACCEPT

iptables  -A INPUT  -p tcp --dport 80 -j ACCEPT

iptables  -A INPUT  -p tcp --dport 443 -j ACCEPT

iptables -P INPUT DROP

====

什么是dmz区?

隔离区域(非军事化区域)---》就是集成存放服务器的区域

堡垒机实验的步骤:

准备机器环境:

1.给防火墙服务器和web服务器、堡垒机配置好ip地址和设置好主机名,内网使用hostonly网卡类型,防火墙的外网卡使用桥接类型

注意: 你们自己规划的IP地址和网关一定要配置好,dns域名解析服务器可以配置8.8.8.8(谷歌的)

网卡配置方面要自己让路由器有两个网卡,外网卡设置桥接,内网的客户机的网卡都设置为仅主机模式

[root@feng ~]# hostnamectl set-hostname jumpserver

[root@feng ~]# su

[root@jumpserver ~]#

[root@web ~]# hostnamectl set-hostname web-server
[root@web ~]# su
[root@web-server ~]#

##本图片仅供参考

步骤:

1.在内网的web服务器上配置tcp wrappers策略,只允许jumpserver 能ssh过来,其他的机器都不可以

[root@web-server ~]# cat /etc/hosts.deny

sshd:ALL

[root@web-server ~]# cat /etc/hosts.allow

sshd:192.168.5.99,192.168.5.1

[root@web-server ~]#

 2.确保堡垒机上的ssh服务是正常运行的

 [root@jumpserver ~]# service sshd restart

Redirecting to /bin/systemctl restart sshd.service

#ssh进程是否启动

[root@web-server ~]# ps -aux|egrep sshd
root        982  0.0  0.2 113004  4360 ?        Ss   07:26   0:00 /usr/sbin/sshd -D
root       2180  0.0  0.3 161772  6124 ?        Ss   16:18   0:00 sshd: root@pts/2
root       2619  0.0  0.3 161772  6120 ?        Ss   22:21   0:00 sshd: root@pts/0
root       2834  0.0  0.3 161772  6124 ?        Ss   22:36   0:00 sshd: root@pts/1
root       2927  0.0  0.0 112828   980 pts/1    S+   22:45   0:00 grep -E --color=auto sshd
 

#查看端口号

[root@web-server ~]# netstat -anuplt|grep sshd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      982/sshd            
tcp        0      0 192.168.142.2:22        192.168.142.1:63009     ESTABLISHED 2180/sshd: root@pts 
tcp        0     36 192.168.142.2:22        192.168.142.1:50308     ESTABLISHED 2834/sshd: root@pts 
tcp        0      0 192.168.142.2:22        192.168.142.1:57540     ESTABLISHED 2619/sshd: root@pts 
tcp6       0      0 :::22                   :::*                    LISTEN      982/sshd  

修改主配置文件,将端口号修改为6677,并且禁用root用户登录

[root@jumpserver ~]# cd /etc/ssh/

[root@jumpserver ssh]# vim sshd_config

PermitRootLogin no

Port 6677

[root@jumpserver ssh]# service sshd restart

Redirecting to /bin/systemctl restart sshd.service

[root@jumpserver ssh]#

新建一个普通用户,用于登录堡垒机

[root@jumpserver ssh]# useradd  wangyalin

[root@jumpserver ssh]# echo 123456|passwd wangyalin --stdin

更改用户 wangyalin的密码 。

passwd:所有的身份验证令牌已经成功更新。

[root@jumpserver ssh]#

#root登录不了的效果

[wangyalin@jumpserver ~]$ service sshd restart
Redirecting to /bin/systemctl restart sshd.service
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
Authentication is required to manage system services or units.
Authenticating as: root
Password: 
==== AUTHENTICATION COMPLETE ===
 

清空tcp wrappers里的配置,停止firewalld的服务

[root@jumpserver ssh]# vim /etc/hosts.allow

[root@jumpserver ssh]# vim /etc/hosts.deny

[root@jumpserver ssh]# service firewalld stop

Redirecting to /bin/systemctl stop firewalld.service

[root@jumpserver ssh]#

3.在防火墙服务器上启用snat和dnat功能

[root@router nat]# cat snat_dnat.sh

#!/bin/bash

#关闭firewalld服务,关闭linux自带的防火墙服务

service firewalld  stop

#开启路由功能  1表示开启路由功能  0 表示禁用路由功能

##暂时开启路由功能

echo   1 >/proc/sys/net/ipv4/ip_forward

#SNAT策略

#清除原来iptables 相关表里的规则

iptables -F

iptables -t nat -F

#添加snat策略

#iptables -t nat -A POSTROUTING  -s 192.168.5.0/24 -o ens36 -j SNAT --to-source 192.168.1.146

iptables -t nat -A POSTROUTING  -s 192.168.5.0/24 -o ens36 -j MASQUERADE

#添加DNAT策略,发布的是web服务器

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p tcp  --dport 80 -i ens36  -j DNAT --to-destination 192.168.5.2

#发布mysql服务器

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p tcp  --dport 3306 -i ens36  -j DNAT --to-destination 192.168.5.3

#redis服务器

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p tcp  --dport 6379 -i ens36  -j DNAT --to-destination 192.168.5.4

#添加DNAT策略,发布的是web服务器

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p tcp  --dport 8080 -i ens36  -j DNAT --to-destination 192.168.5.5:80

#dns服务器

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p udp  --dport 53 -i ens36  -j DNAT --to-destination 192.168.5.8

#发布堡垒机

iptables  -t nat  -A PREROUTING -d 192.168.1.146  -p tcp  --dport 2288 -i ens36  -j DNAT --to-destination 192.168.5.99:6677

[root@router nat]#

[root@router nat]# bash snat_dnat.sh   执行脚本

Redirecting to /bin/systemctl stop firewalld.service

[root@router nat]# iptables -t nat -L -n  查看效果

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         

DNAT       tcp  --  0.0.0.0/0            192.168.1.146        tcp dpt:80 to:192.168.5.2

DNAT       tcp  --  0.0.0.0/0            192.168.1.146        tcp dpt:3306 to:192.168.5.3

DNAT       tcp  --  0.0.0.0/0            192.168.1.146        tcp dpt:6379 to:192.168.5.4

DNAT       tcp  --  0.0.0.0/0            192.168.1.146        tcp dpt:8080 to:192.168.5.5:80

DNAT       udp  --  0.0.0.0/0            192.168.1.146        udp dpt:53 to:192.168.5.8

DNAT       tcp  --  0.0.0.0/0            192.168.1.146        tcp dpt:2288 to:192.168.5.99:6677

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

MASQUERADE  all  --  192.168.5.0/24       0.0.0.0/0           

[root@router nat]#

在测试服务器上验证dnat功能和跳板机功能

在另外一台服务器上ssh到防火墙wan口的ip+22端口--》DNAT映射到跳板机,然后再在跳板机上ssh到内网的服务器

编写jump.sh脚本的目的是,方便在跳板机上ssh到对应的服务器,服务器资产过多,记不清,有脚本好分辨清楚。

##建立一个脚本来选择进入的机器

[wangyalin@jumpserver ~]$ cat jumpserver-choice.sh 
#!/bin/bash
echo "1.连接web服务器"
echo "2.连接MySQL服务器"
echo "3.退出"
while true
do
    read -p "请输入你的选择:" num
    case $num in 
        1)
            ssh root@192.168.142.2
            ;;
        2)
            ssh root@192.168.142.137
            ;;
        3)
            break
            ;;
        *)
            echo "输入不合法!"
        
esac
done
 

[wangyalin@jumpserver ~]$ bash jumpserver-choice.sh 
1.连接web服务器
2.连接MySQL服务器
3.退出
请输入你的选择:1
root@192.168.142.2's password: 
Last login: Tue Mar  5 22:36:15 2024 from 192.168.142.1
[root@web ~]# 

##实验的过程中我改了很多的主机名可能导致我的主机名有问题,请各位看官见谅

#出现的问题

喜欢博主的请点个关注和免费的赞!!!!

浅唱 王
关注
专栏目录
使用ssh隧道“升级”你的堡垒机网络
子涵先生
02-18 1586
一、什么是隧道? 用子涵的大白话来讲,隧道就是一种代理转发机制,其基本步骤为: 创建代理:把堡垒机的能力,在本地PC创建一个代理服务; 代理服务使用:本地PC或其他PC则可以直接使用代理服务,实现堡垒机的功能。 二、ssh隧道使用场景 首先我先介绍两种常见的使用ssh隧道的场景: 2-1 解决访问内部应用 1、PC是开发者电脑,Server是内网服务器; 2、PC连接VPN后,可以访问Server1,但无法访问Server2-4中的服务。 如果我们想在VPN环境中访问Server2-4的服务该怎么办?
推荐3个开源好用的堡垒机
网络技术联盟站
06-06 1986
堡垒机,又称为运维审计系统,是一种位于内部网络与外部网络之间的安全设备,其核心任务是集中管理和控制对内部网络资源的访问。本文将介绍几款开源堡垒机软件,希望对你选择有所帮助。
ssh隧道(跳板机/堡垒机)
weixin_33982670的博客
01-26 1933
ssh隧道/跳板的使用所有服务器都只允许跳板机远程登录之后,用户需要先建立与跳板机的隧道连接,然后再通过隧道连接到远端服务器,使用上来讲增加了一个步骤跳板机IP192.168.1.1:1379所拥有的用户rootwww服务器IP192.168.1.5:2000所拥有的用户roottest一,跳板机配置1,跳板机...
关于ssh,远程桌面,堡垒机,的区别
Chen4852010的博客
05-22 1566
再后来,网络安全方面的要求日益增加,简单粗暴的拿了账号就直接远程到目标服务器的做法已不再推荐,所以又上了堡垒机,必须统一先远程登录到堡垒机上再连接到相应有登录权限的服务器上。同时,PC数量也渐渐增多了,各种各样的问题层出不穷:有误操作的,有偷摸违规操作的,有还没怎么操作但是软硬件突然就崩的,还有吵着闹着要加内存加硬盘的。传统PC被一个瘦客户小盒子代替了,传统PC的操作系统和计算资源都作为虚拟机存在了云桌面服务器上,使用起来相当于本地的瘦客户端“远程”到了对应的云桌面虚拟机并把桌面展现到了眼前的显示器。
使用终端工具Tabby(跳板机)连接ssh
最新发布
weixin_43907110的博客
08-28 466
1.新建->新配置2.选择ssh连接3.填写shh名称,ip,端口,账户名后保存4.点此可以选择进入刚刚新建的配置中,如果上面填写的配置都没有问题就可以成功连接上了。
一个100%Go语言的Web-Term-SSH 堡垒机项目
浩秦的博客
10-24 921
SSH-Fortress 1. What does it do? Make your cluster servers be more safe by expose your SSH connection through SSH-Fortress server Login your SSH server through the SSH-Fortress Web Interface...
[How TO]-堡垒机快捷登陆SSH服务器-expect自动输密码
baron-周贺贺-代码改变世界ctw
02-19 1535
#!/usr/bin/expect set timeout 1 spawn ssh -p 22 username@ip_addr expect "Password:" send "***\r" expect "请选择资产分类:" send "0\r" expect "请选择目标资产:" send "2\r" expect "请选择登录帐号:" send "1\r" expect "login:" send "username\r" expect "password:" send "***.
SSH服务配置,ssh服务key验证,ssh堡垒机,xshell创建key验证,scp,rsync,sftp命令
2401_84153146的博客
05-04 995
面试前的“练手”还是很重要的,所以开始面试之前一定要准备好啊,不然也是耽搁面试官和自己的时间。我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!以实现跨网络通信scp命令如果重复拷贝相同文件----浪费带宽—用rsync命令解决。
堡垒机介绍和跳板机的简单实现
Hiro18的博客
08-08 1447
在一个特定的网络环境下(公司),如果用户可以直接远程登录操控后端的服务器是十分危险的,为了保障网络和数据不受外部和内部用户的入侵和破坏,运用各种手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中、及时处理及责。[百度百科解释]堡垒机(运维审计系统)的基本原理与部署方式 | 曹世宏的博客堡垒机简介堡垒机是什么?...
麒麟堡垒机SSH/TELNET命令操作列表限制功能测试
keeplifer的博客
09-28 3018
     麒麟堡垒机命令限制列表支持白名单、黑名单二种模式,白名单绑定给用户的权限时,则用户使用相应的权限时,只能运行白名单中的命令,黑名单中的命令包括断开连接、命令阻断、命令权限、命令授权四个模式,断开连接的命令,当用户运行时,堡垒机会直接将ssh/telnet命令切断,命令阻断的命令,用户运行时,会将这个命令阻断,但不切断连接,命令权限中的命令,用户运行时,堡垒机不进行任何阻断动作,但是会记录...
【python接口自动化测试-ssh远程连接堡垒机,并跳转到目标主机执行批量shell指令】
gonnalove的博客
08-22 5261
python实现ssh远程连接linux主机,并执行指令,上篇已提到; 在一个堡垒机自动化测试的项目中,一开始我简单的想,用paramiko远程连接linux主机的方式,去连接堡垒机,然后再发送指令,应该就可以实现了吧。 实际上,思路是没错的,堡垒机本质上也是一个linux主机,ssh连接堡垒机也是OK的,但是连接上后,使用exec_command方法发送指令选择资源主机时,却总是返回No s...
企业linux-堡垒机跳板机测试案例-6140字详谈
2302_78067597的博客
04-17 1390
原因是虚拟机在笔记本上,笔记本虚拟机相当于一个局域网,IP都是局域网IP,但是云服务器是有公网IP的,公网IP只要有网是可以连接的,虚拟机没有公网IP,只能在局域网IP上连接,除非给虚拟机整上一个公网IP,买云服务器给了一个公网IP,一个带宽。用虚拟机做跳板机去连接虚拟机/云服务器,把堡垒机软件安装到云服务器上,云服务器是无法连接虚拟机的,虚拟机可以连接云,买云服务器给了一个公网IP,一个带宽。后面有一个操作,选择管理远程账号,添加远程账号(端口/认证方式/远程账号/密码)
堡垒机原生ssh登陆解决方案
p15097962069的博客
09-29 980
堡垒机原生ssh登陆解决方案
保垒机SSH登录脚本
connect_me的博客
10-19 540
写了一个脚本用来便捷的登录各个服务器,可以把这个脚本放到跳板机堡垒机)上,就可以很方便的登录到远程服务器。
Jmeter7-Beanshell调用Python脚本实现ssh远程连接堡垒机,并跳转到目标主机执行shell指令
weixin_43840640的博客
01-07 2012
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
跳板机的工作原理和简单的跳板机实现
weixin_30773135的博客
07-19 8202
一、了解跳板机 跳板机(Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一。 跳板机是网络中容易受到侵害的主机,所以跳板机也必须是自身保护完善的主机。通常至少配备两块网卡设备,分别具备不同的网络连接。一个连接外网,用以对目标服务器的远程登录及维护;另一个则连接内网,便于内部网络的管理、控制和保护,通过...
堡垒机ssh协议,telnet协议,b/s架构
那一片天的专栏
12-26 5551
堡垒机 网域IT运维安全审计产品是一款基于B/S架构的操作行为安全审计系统,主要功能是对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,支持IT运维人员对多种远程维护方式,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的的详细记录和提供细粒度的
JumpServer V3版本 第三方用户如何使用SSH协议登录堡垒机
JiangLaoBi的博客
05-21 3292
(1)先登陆到堡垒机页面,在账号的个人信息中点击重置并下载密钥,将密钥放在指定在英文目录下,因为终端连接的时候,要使用到密钥。(2)使用xshell登录,需要页面设置一下,在页面工具处点击用户密钥管理者,将第一步获取的密钥输入。(1)使用本地的终端登录,如果账号设置了MFA。登录的时候会要求输入。点击重置并下载密钥后,名称应自动刷新出来,如果没出来,多点击几次。(1)ssh-keygen -t rsa (终端生成密钥对)将获取的公钥放至页面处ssh公钥里。点击用户密钥导入对用用户的密钥登录。
远程服务器配置(堡垒机samba/ssh等)
06-27 266
分配了新的服务器后,要下载代码首先要配置ssh
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值