堡垒机：

在一个特定的网络环境下（公司），如果用户可以直接远程登录操控后端的服务器是十分危险的，为了保障网络和数据不受外部和内部用户的入侵和破坏，运用各种手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及责。[百度百科解释]跳板机的工作原理和简单的跳板机实现

堡垒机(运维审计系统)的基本原理与部署方式 | 曹世宏的博客堡垒机简介堡垒机是什么？堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。[百度百科解释] 堡垒机目前也有很多叫运维审计系统。 简单总结一句话：堡垒机是用来控制哪些人可以登录哪些资产（事先防范和事中控制），以及录像记录登录资产后做https://cshihong.github.io/2020/06/15/%E5%A0%A1%E5%9E%92%E6%9C%BA-%E8%BF%90%E7%BB%B4%E5%AE%A1%E8%AE%A1%E7%B3%BB%E7%BB%9F-%E7%9A%84%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86%E4%B8%8E%E9%83%A8%E7%BD%B2%E6%96%B9%E5%BC%8F/

跳板机

一、了解跳板机

    跳板机（Jump Server），也称堡垒机，是一类可作为跳板批量操作远程设备的网络设备，是系统管理员或运维人员常用的操作平台之一。

  跳板机是网络中容易受到侵害的主机，所以跳板机也必须是自身保护完善的主机。通常至少配备两块网卡设备，分别具备不同的网络连接。一个连接外网，用以对目标服务器的远程登录及维护；另一个则连接内网，便于内部网络的管理、控制和保护，通过网关服务提供从私网到公网，或从公网到私网的特殊协议路由服务。

二、实验：简单的跳板机的实现

1.实验要求

     1. 跳板机上为每个开发人员创建一个账号，并且只能在指定的目录里管理自己的文件。
     2. 线上生产服务器，禁止使用root用户远程登录。
     3. 线上生产服务器sshd服务不允许使用默认端口，防止黑客通过端口扫描。
     4. 线上生产服务器上开发人员使用的账号code用户的密码使用工具随机生成。

2.任务分析

    1.在跳板机上为开发人员创建账号

    2.公共目录需要有高级权限

    3.禁止root用户远程登录系统

    4.更改ssh协议的端口号

    5.内网环境下安装软件

3.实验拓扑图

4.实验环境的介绍

  1.PC为本机，已禁用VMware网卡1，本机IP为192.168.39.39/2

  2.Jump-server为centos6虚拟机，安装两块网卡，ip分别为192.168.189.132/24; 1192.168.189.132/24,跳板机能够ping通PC和Service

  3.service为Centos6虚拟机，安装一块网卡，IP为192.168.189.128

  4.目前PC端无法连接192.168.189.0/24网段的所有IP

  5.两个Centos均安装openssh-client和openssh-service

5,实验具体步骤

1.创建用户并增加相应权限[root@jiangfeng1 ~]# groupadd coding
[root@jiangfeng1 ~]# useradd -G coding code1
[root@jiangfeng1 ~]# useradd -G coding code2
[root@jiangfeng1 ~]# echo 123456 | passwd --stdin code1
更改用户 code1 的密码 。
passwd： 所有的身份验证令牌已经成功更新。
[root@jiangfeng1 ~]# echo 123456 | passwd --stdin code2
更改用户 code2 的密码 。
passwd： 所有的身份验证令牌已经成功更新。
[root@jiangfeng1 ~]# mkdir -p /code/data
[root@jiangfeng1 ~]# chown :coding /code/data/
[root@jiangfeng1 ~]# chmod 1770 /code/data/
[root@jiangfeng1 ~]# ll -d /code/data/
drwxrwx--T 2 root coding 4096 7月  20 03:33 /code/data/

2.禁止root远程登录和更改默认端口号

       在Service端更改ssh服务的配置文件，

        vi /etc/ssh/sshd-config

         注：尽量不要更改配置文件注释的信息，如若需要更改，先复制一行在进行更改。

3.用户密码随机

因为我的service端为仅主机模式，所以无法连接互联网，所以我需要在Jump-service缓存下安装包，在通过scp发送到service端。

[root@jiangfeng1 network-scripts]# yum install pwgen
…………
已安装:pwgen.x86_64 0:2.08-1.el6                                                                                                       完毕！
[root@jiangfeng1 6]# scp -P 10001 /var/cache/yum/x86_64/6/epel/packages/pwgen-2.08-1.el6.x86_64.rpm code@192.168.189.128:/tmp
The authenticity of host '[192.168.189.128]:10001 ([192.168.189.128]:10001)' can't be established.
RSA key fingerprint is df:28:9d:09:a3:bf:52:a6:e5:ce:f2:a4:04:0d:b8:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.189.128]:10001' (RSA) to the list of known hosts.
code@192.168.189.128's password: 
pwgen-2.08-1.el6.x86_64.rpm                                                                     100%   25KB  24.5KB/s   00:
[root@jiangfeng1 6]# pwgen -cnsB1 15 1
ajxmHfcUaT4Azht
[root@jiangfeng1 6]# echo ajxmHfcUaT4Azht | passwd --stdin code

4.测试

1.从PC端直接连接service

无法连接service。

2.从PC端通过Jump-service远程service

验证成功！！！

转自跳板机的工作原理和简单的跳板机实现 - better_feng - 博客园