跳板機的工作原理和簡單的跳板機實現

一、了解跳板機

    跳板機（Jump Server），也稱堡壘機，是一類可作為跳板批量操作遠程設備的網絡設備，是系統管理員或運維人員常用的操作平台之一。

  跳板機是網絡中容易受到侵害的主機，所以跳板機也必須是自身保護完善的主機。通常至少配備兩塊網卡設備，分別具備不同的網絡連接。一個連接外網，用以對目標服務器的遠程登錄及維護；另一個則連接內網，便於內部網絡的管理、控制和保護，通過網關服務提供從私網到公網，或從公網到私網的特殊協議路由服務。

 

二、實驗：簡單的跳板機的實現

1.實驗要求

     1. 跳板機上為每個開發人員創建一個賬號，並且只能在指定的目錄里管理自己的文件。
     2. 線上生產服務器，禁止使用root用戶遠程登錄。
     3. 線上生產服務器sshd服務不允許使用默認端口，防止黑客通過端口掃描。
     4. 線上生產服務器上開發人員使用的賬號code用戶的密碼使用工具隨機生成。

2.任務分析

    1.在跳板機上為開發人員創建賬號

    2.公共目錄需要有高級權限

    3.禁止root用戶遠程登錄系統

    4.更改ssh協議的端口號

    5.內網環境下安裝軟件

3.實驗拓撲圖

4.實驗環境的介紹

  1.PC為本機，已禁用VMware網卡1，本機IP為192.168.39.39/2

  2.Jump-server為centos6虛擬機，安裝兩塊網卡，ip分別為192.168.189.132/24; 1192.168.189.132/24,跳板機能夠ping通PC和Service

  3.service為Centos6虛擬機，安裝一塊網卡，IP為192.168.189.128

  4.目前PC端無法連接192.168.189.0/24網段的所有IP

  5.兩個Centos均安裝openssh-client和openssh-service

5,實驗具體步驟

1.創建用戶並增加相應權限

[root@jiangfeng1 ~]# groupadd coding
[root@jiangfeng1 ~]# useradd -G coding code1
[root@jiangfeng1 ~]# useradd -G coding code2
[root@jiangfeng1 ~]# echo 123456 | passwd --stdin code1
更改用戶 code1 的密碼 。
passwd： 所有的身份驗證令牌已經成功更新。
[root@jiangfeng1 ~]# echo 123456 | passwd --stdin code2
更改用戶 code2 的密碼 。
passwd： 所有的身份驗證令牌已經成功更新。
[root@jiangfeng1 ~]# mkdir -p /code/data
[root@jiangfeng1 ~]# chown :coding /code/data/
[root@jiangfeng1 ~]# chmod 1770 /code/data/
[root@jiangfeng1 ~]# ll -d /code/data/
drwxrwx--T 2 root coding 4096 7月  20 03:33 /code/data/

2.禁止root遠程登錄和更改默認端口號

       在Service端更改ssh服務的配置文件，

        vi /etc/ssh/sshd-config

         注：盡量不要更改配置文件注釋的信息，如若需要更改，先復制一行在進行更改。

3.用戶密碼隨機

        因為我的service端為僅主機模式，所以無法連接互聯網，所以我需要在Jump-service緩存下安裝包，在通過scp發送到service端。

[root@jiangfeng1 network-scripts]# yum install pwgen
…………
已安裝:
  pwgen.x86_64 0:2.08-1.el6                                                                                                       

完畢！
[root@jiangfeng1 6]# scp -P 10001 /var/cache/yum/x86_64/6/epel/packages/pwgen-2.08-1.el6.x86_64.rpm code@192.168.189.128:/tmp
The authenticity of host '[192.168.189.128]:10001 ([192.168.189.128]:10001)' can't be established.
RSA key fingerprint is df:28:9d:09:a3:bf:52:a6:e5:ce:f2:a4:04:0d:b8:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.189.128]:10001' (RSA) to the list of known hosts.
code@192.168.189.128's password: 
pwgen-2.08-1.el6.x86_64.rpm                                                                     100%   25KB  24.5KB/s   00:

[root@jiangfeng1 6]# pwgen -cnsB1 15 1
ajxmHfcUaT4Azht
[root@jiangfeng1 6]# echo ajxmHfcUaT4Azht | passwd --stdin code

 

4.測試

1.從PC端直接連接service

無法連接service。

2.從PC端通過Jump-service遠程service

驗證成功！！！