Linux权限管理,堡垒机访问。

最新推荐文章于 2024-05-16 09:32:04 发布
最新推荐文章于 2024-05-16 09:32:04 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: Linux运维知识

注意事项:
一.config.sh中用户的密码不能少于8位(longin.sh中定义密码长度)
二.目录和文本的所属者、权限
三.中转机有到其它机器的无密码登陆,无需添加password.txt
四.此次操作ssh使用的默认22端口,有变更修改当前目录下ssh_config文件定义的Port


操作如下:
1、创建用户office_user
useradd office_user

并修改 /etc/passwd  文件相关用户的信息 如下: 
office_user:x:503:503::/home/office_user:/home/office_user/login.sh

2、权限设置,所有脚本均放在/home/office_user 目录下
#目录权限
chown  office_user.root  /home/office_user

#文件权限
chown office_user.root  /home/office_user/*
chmod +x /home/office_user/*.sh

3、安装expect
yum -y install expect

 

4、文件介绍    
config.sh            定义用户 密码 登陆ip           zhuang qwe.1234 192.168.1.101|192.168.1.102
hostname.txt      服务器ip 主机名/功能用途   192.168.1.101 test1/test2
login.sh              登陆脚本
logs.txt               记录登陆日志
password.txt       记录服务器ip 密码               192.168.1.101 redhat123
ssh_config          ssh协议设置
ssh.exp               ssh登陆命令


5、脚本
(1)ssh.exp
#!/usr/bin/expect

set host  [lindex $argv 0]
set password  [lindex $argv 1]
set timeout 86400
spawn ssh -F ssh_config root@$host
expect "password:"
send "$password\r"
interact


(2)ssh_config
# $OpenBSD: ssh_config,v 1.23 2007/06/08 04:40:40 pvalchev Exp $

# This is the ssh client system-wide configuration file. See
# ssh_config(5) for more information. This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options. For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

# Host *
Host *
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
#BatchMode yes
CheckHostIP no
# AddressFamily any
# ConnectTimeout 10
StrictHostKeyChecking no
# IdentityFile /home/xf/.ssh/sss
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# GSSAPIAuthentication no
# If this option is set to yes then remote X11 clients will have full access
# to the original X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
# ForwardX11Trusted yes
# Send locale-related environment variables
# SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
# SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
# SendEnv LC_IDENTIFICATION LC_ALL


(3)login.sh
#!/bin/bash
cd $(dirname $0)


clear
trapper () {
trap ' ' 2 3 20
}


loginsvr()
{
  server=($*)
  for((i=0;i<="$#-1";i++))
  do
     name="`cat hostname.txt|grep ${server[i]}|awk '{print $NF}'`"
     echo -e "\t\033[0m[\033[36m$i\033[0m] login server ${server[i]} $name"
  done
  echo -e "\r\n"
  echo -e "please select login server number:\c"
  read number
  for((i=0;i<="$#-1";i++))
  do
  args=`cat password.txt|grep "${server[i]} "`
  [ "$number" = $i ]&&./ssh.exp $args &&echo "${server[i]} login $password sucess">>/home/office_user/logs.txt
  #[ "$number" = $i ]&&./ssh.exp ${server[i]} $password &&echo "${server[i]} login $password sucess">>/home/office_user/logs.txt
  done
}


if [ "`whoami`" = root ];then
password=`cat password.txt|grep $1|awk '{print $NF}'`
[ -z "$password" ]&&echo password error&&exit
./ssh.exp $1 $password
exit
fi


while : 
do
        trapper
        echo -e "Please enter login user:\c" 
        read user
        userinfo=`cat config.sh|grep "${user} "`
        if [ ! -z "$userinfo" ]&&[ ! -z "$user" ];then
                userinfo=($userinfo)
                echo -e "Please enter password:\c" 
                stty -echo
                read passwd
                [ "${#passwd}" -lt 8 ]&&echo -e "\r\n"&&stty echo&&continue
                [ "$passwd" != ${userinfo[1]} ]&&echo ""&&stty echo&&echo "`date "+%Y-%m-%d %H:%M:%S"`-- ${userinfo[0]} login fail"

>>/home/office_user/logs.txt&&continue
                stty echo   
                echo "`date "+%Y-%m-%d %H:%M:%S"`-- ${userinfo[0]} login sucess" >>/home/office_user/logs.txt
                echo -e"\r\n"


                clear
                while :
                do
                   echo -e "Hello ${userinfo[0]},Today is $(date +%T)\n" 
                   loginsvr `echo ${userinfo[2]}|sed 's/|/ /g'`
                done
        fi
        clear
done


 

wuapeng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统中允许或拒绝SSH访问特定用户或组的方法
qq_40907977的博客
11-11 3419
openSSH默认配置文件有两个指令,允许和拒绝对特定用户或组的SSH访问,本文所要介绍的内容是允许或拒绝在Linux系统中对特定用户或组的SSH访问。一旦我们将用户置于限制模式,他就无法做任何事情,除了他被允许做什么,当你希望允许特定用户执行一组特定命令时,该方法就能用上了。 一、允许SSH访问用户或组 首先,我们将看到如何允许特定用户的SSH访问(在Ubuntu 18.04系统中启用SSH登...
Debian配置ssh并限制只有指定主机的指定用户可登录
cheems404的博客
11-25 2593
Debian服务器IP:192.168.200.129 Debian客户端IP:192.168.200.131 Debian默认安装了openssh-client,所以服务器端只需要安装openssh-server就可以了 root@server:/home/whoami# apt install -y openssh-server 备份sshd配置文件 root@server:~# cd /etc/ssh/ root@server:/etc/ssh# cp sshd_config sshd_
配置Linux】2.只允许特定ip远程登录
Henry的博客
05-03 1200
前提是我们装好了vsftpd,filezilla 1. 修改 vi /etc/vsftpd/vsftpd.conf 如下: 2. 修改 vi /etc/hosts.allow 追加如下内容:
内网穿透的应用-Linux JumpServer堡垒机:安全远程访问解决方案
最新发布
zz12345600354的博客
05-16 894
JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问jump server 管理界面.
更安全的堡垒机登录方法
weixin_34357436的博客
12-02 602
Hi,all目前现状:每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:下面以SecureCRT为例:堡垒机:192.168....
linux 禁止 密码 登陆,CentOS设置证书登录并禁止密码登录
weixin_30019895的博客
04-30 620
CentOS设置证书登录并禁止密码登录普通用户登录时,以往的做法往往是使用账号密码登录,但是这样的登录方式风险相当高,使用密钥登录能大大降低风险1. 生成密钥ssh 公钥认证是ssh认证的方式之一。通过公钥认证可实现ssh免密码登陆,ssh-keygen 可用来生成ssh公钥认证所需的公钥和私钥文件。使用 ssh-keygen 时,请先进入到 ~/.ssh 目录,不存在的话,请先创建。并且保证 ~...
开源堡垒机jumpserver1.5.2管理员手册.docx
04-17
"开源堡垒机Jumpserver 1.5.2管理员手册" Jumpserver 1.5.2 是一个开源堡垒机系统,支持 Windows 和 Linux 两个平台。该系统支持多种远程桌面协议,包括 SSH、Telnet、VNC 和 RDP 等,并且提供了录像审计功能。作为...
jumpserver堡垒机20201118下载最新版
11-18
1. **统一访问管理**:Jumpserver提供了一个集中化的访问控制平台,可以对各种网络设备、服务器进行统一的身份验证、授权和审计,确保只有经过许可的用户才能访问特定的系统资源。 2. **多协议支持**:支持SSH、RDP...
teleport堡垒机安装、部署(步骤详细,包含保活脚本)
03-23
Teleport是一款开源的身份访问管理(IAM)解决方案,特别适合需要安全远程访问的应用场景。本篇文章将详细讲解如何安装和部署Teleport堡垒机,包括配置Nginx以及设置保活脚本。 首先,我们从`Teleport-安装与配置.pdf...
Linux搭建jumpserver
06-02
在IT行业中,堡垒机是一种重要的安全管理系统,用于集中管理和审计网络设备、服务器等系统的访问行为。Jumpserver是一款开源的堡垒机解决方案,相比传统的硬件堡垒机,它提供了更高的灵活性和性价比。在Linux环境下...
Linux版本wgcloud-v3.3.3
06-16
堡垒机是IT安全领域的重要组件,wgcloud的堡垒机功能允许管理员对远程访问进行控制和审计,以保护系统免受未经授权的访问。通过集中化的权限管理访问记录,wgcloud增强了网络安全,并简化了合规性报告的生成。 在...
客户通过堡垒机连接内部服务器
Joyce
03-10 7622
通常情况下,当我们连接内网的时候为了保证安全性。通常会使用跳板机(也称堡垒机)。而跳板机的OS一般会是windows,而电信会有一批堡垒机linux。当我们连接放在内网上的oracle的时候,很多一部分人是直接去机房接显示屏连接。下面主要介绍下客户通过堡垒机连接内部服务器的过程。 通过跳板机的桌面连接方法-端口转发 在有跳板机B的情况下,从A访问C的桌面 主机A:192.168.0.100
Linux - SSH服务 - SCP - 免密通道建立
lpfstudy的博客
05-15 3864
目录SSH是什么?如何知道一个服务是否运行? 1、看进程2、看端口sshd表示什么呢?我们将修改ssh服务端口号为2244端口,并禁用root用户登录1、修改端口号为22442、禁止root用户登录3、完成后我们重启sshd服务4、扩展添加欢迎横幅文件5、测试是否通过2244端口才能连接ssh服务,是否不能通过root用户连接ssh服务: 当然我们可以使用ssh命令远程登录如果ssh远程连接不上,如何排查?免密通道建立实验:免密通道建立的好处:2台机器之间传输文件或者执行命令,不需要输入密码了
堡垒机(跳板机)
殇沫流年的专栏
05-24 7021
堡垒机(跳板机)? 现在一定规模互联网企业,往往都拥有大量服务器,如何安全并高效的管理这些服务器是每个系统运维或安全运维人员必要工作。现在比较常见的方案是搭建堡垒机环境作为线上服务器的入口,所有服务器只能通过堡垒机进行登陆访问。 ===============================================================================
限制登录Linux服务器的几种方式
weixin_45190065的博客
02-07 4758
限制登录Linux服务器的几种方式
堡垒机jumpserver批量限制ssh访问ip
KEY0NE的个人博客
04-07 1429
通过堡垒机jumpserver批量命令功能,限制堡垒机ip可访问服务器的ssh服务 sudo sh -c 'echo "sshd:192.168.0.135" >> /etc/hosts.allow' sudo sh -c 'echo "sshd:all" >> /etc/hosts.deny' 注意:有的服务器上在hosts.allow设置了sshd:all,会导致任意ip都可访问ssh服务 记录:使用 sudo 只是让 echo 命令具有了 root 权限,但是没有让
使用 SecureCRT 客户端通过 SSH 连接 Ubuntu20.04 时, 出现 The remote system refused the connection 的问题,怎么办?
段子手168的博客
03-06 441
SecureCRT Ubuntu, 使用 SecureCRT 客户端通过 SSH 连接 Ubuntu20.04 时, 出现 The remote system refused the connection 的问题,
secureCRT软件连接linux服务器出现异常:The remote system refused the connection
qq_58883618的博客
03-15 2798
摘要:secureCRT等第三方软件无法连接linux服务器的问题异常:The remote system refused the connection 的解决方式
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3569
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
linux安装堡垒机
08-12
要在Linux上安装堡垒机,您可以按照以下步骤进行操作: 1. 首先,选择适合您需求的堡垒机软件。常见的堡垒机软件包括Jumpserver、Xshell、SecureCRT等。您可以根据您的具体需求进行选择。 2. 在Linux服务器上下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值