首页 > 代码库 > 更安全的堡垒机登录方法
更安全的堡垒机登录方法
Hi,all
目前现状:
每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:
下面以SecureCRT为例:
堡垒机:192.168.85.128
后端服务器:192.168.85.130(此服务器只允许堡垒机登录)
1、SecureCRT生成公钥私钥
首先“工具”-“创建公钥”
2、配置ssh-agent
3、上传公钥到堡垒机和后端服务器并导入到authorized_keys
ssh-keygen -i -f Identity.pub >> authorized_keys
4、登录跳板机
设置私钥登录堡垒机,此时跳板机没有你的私钥,私钥在你本地保存,
5、通过跳板机登录到后端的192.168.85.130
本人使用的是SecureCRT 使用别的客户端的同学可以参考:
https://www.vandyke.com/support/tips/agent_forwarding.html
还有一种是自己有linux服务器,需要在/etc/profile.d/目录放一个文件,文件已经在附件保存了。
本文出自 “freeterman” 博客,请务必保留此出处http://myunix.blog.51cto.com/191254/1878926
更安全的堡垒机登录方法
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。