跳板机连接服务器的配置

以windows系统中vscode部署为例： 1.环境配置：vscode，vscode插件Remote SSH 2.在本地命令行执行命令，生成一个公钥： 3.生成的文件会在用户目录下的.ssh文件夹中的id_rsa.pub中，将这一文件添加到跳板机的对应文件夹中即可。 4.在上述文件夹中新建一个config文件如下： 如果是linux与上述基本一致，只需要最后一行去掉exe。 5.完成上述之后在vscode左下角点击><按钮，选择主机名即可进行连接。

    在局域网中的Linux服务器集群，为了保障运维安全，只能从堡垒机登录到各个Linux服务器。那么需要对Linux服务器集群进行安全加固，限制访问权限。在堡垒机上可以部署脚本来记录用户 *** 作的审计日志（详情参考笔者的文章），那么整个局域网的Linux服务器集群的安全性就可以大大提高。     堡垒机作用明显，其提供运维统一入口和安全审计功能，切断直接访问和事后审计定责，解决“运维混乱”变得“运维有序” 。    下面是三种方法总结。分别从服务端，系统端、防火墙端来完成只允许堡垒机SSH登录的功能。 1、/etc/ssh/sshd_config     修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：     AllowUsers myuser@20.132.4.*     然后重启 sshd服务：systemctl restart sshd 2、hosts.allow与hosts.deny     修改/etc/hosts.deny中添加设置 sshd : ALL ，拒绝所有的访问；     修改/etc/hosts.allow，添加设置sshd : 20.132.4.* ，单独开启某个IP地址 。     这两个文件优先级为先检查hosts.deny，再检查hosts.allow。     更加详细信息参考笔者的文章-Linux中hosts.allow与hosts.deny  。 3、iptables防火墙     tcp协议中，禁止所有的ip访问本机的22端口。     iptables -I INPUT -p tcp--dport 22 -j DROP     只允许20.132.4.* 访问本机的22端口     iptables  -I  INPUT  -s  20.132.4.*   -ptcp  --dport  22  -j   ACCEPT     另外/etc/pam.d/sshd也可以提供访问控制功能，调用的pam_access.so模块是根据主机名、IP地址和用户实现全面的访问控制，pam_access.so模块的具体工作行为根据配置文件/etc/security/access.conf来决定。但是囿于资料过少，待以后遇到再解决把。

Jumpserver 是一款由python编写完全开源的跳板机(堡垒机)系统，实现了跳板机应有的功能。基于ssh协议来管理，客户端无需安装agent。此文简要介绍实际 *** 作时，简单配置过程。

Jumpserver基于CentOS7安装，可参考⬇️CentOS7一步步安装Jumpserver堡垒机（官方教程版）

1.点击页面左侧"用户列表"菜单下的"用户列表", 进入用户列表页面

2.点击页面左上角"创建用户"按钮, 进入创建用户页面, (也可以通过右上角导入模版进行用户导入)

3.其中, 用户名即 Jumpserver 登录账号(具有唯一性, 不能重名)。名称为页面右上角用户标识(可重复)

4.成功提交用户信息后, Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱

5.点击邮件中的设置密码链接, 设置好密码后, 您就可以用户名和密码登录 Jumpserver 了。

6.用户首次登录 Jumpserver, 会被要求完善用户信息, 按照向导 *** 作即可。

资产创建信息填写好保存之后, ssh 协议资产可"测试资产"是否能正确连接, 其他协议暂不支持

这里简单举几个 "sudo" 设置例子

一般情况下, 资产授权给个人, 节点授权给用户组, 一个授权只能选择一个系统用户

用户只能看到自己被管理员授权了的"资产", 如果登录后无资产, 请联系管理员进行确认

以上就是 Jumpserver 的简易配置。

---