Hi，all

目前现状：

每个同事的私钥和公钥都保存在bastion服务器，bastion如果被攻破，bastion后端的服务器安全就荡然无存了。基于这种考虑，现在把公钥和私钥保存在自己的本地，bastion和bastion后端的服务器只保存公钥，这样就算bastion被攻破，bastion服务器也不存在安全威胁，架构如下图：

下面以SecureCRT为例：

堡垒机：192.168.85.128

后端服务器：192.168.85.130（此服务器只允许堡垒机登录）

1、SecureCRT生成公钥私钥

      首先“工具”-“创建公钥”

2、配置ssh-agent

 3、上传公钥到堡垒机和后端服务器并导入到authorized_keys

       ssh-keygen -i -f Identity.pub >> authorized_keys

 4、登录跳板机

       设置私钥登录堡垒机，此时跳板机没有你的私钥，私钥在你本地保存，

5、通过跳板机登录到后端的192.168.85.130

本人使用的是SecureCRT 使用别的客户端的同学可以参考：

https://www.vandyke.com/support/tips/agent_forwarding.html

还有一种是自己有linux服务器，需要在/etc/profile.d/目录放一个文件，文件已经在附件保存了。

本文出自 “freeterman” 博客，请务必保留此出处http://myunix.blog.51cto.com/191254/1878926

更安全的堡垒机登录方法