跳板机的工作原理和简单的跳板机实现

跳板机的⼯作原理和简单的跳板机实现
⼀、了解跳板机
跳板机（Jump Server），也称堡垒机，是⼀类可作为跳板批量操作远程设备的⽹络设备，是或⼈员常⽤的操作平台之⼀。

跳板机是⽹络中容易受到侵害的主机，所以跳板机也必须是⾃⾝保护完善的主机。

通常⾄少配备两块⽹卡设备，分别具备不同的⽹络连接。

⼀个连接外⽹，⽤以对⽬标服务器的远程登录及维护；另⼀个则连接内⽹，便于内部⽹络的管理、控制和保护，通过⽹关服务提供从私⽹到公⽹，或从公⽹到私⽹的特殊协议路由服务。

⼆、实验：简单的跳板机的实现
1.实验要求
1. 跳板机上为每个开发⼈员创建⼀个账号，并且只能在指定的⽬录⾥管理⾃⼰的⽂件。

2. 线上⽣产服务器，禁⽌使⽤root⽤户远程登录。

3. 线上⽣产服务器sshd服务不允许使⽤默认端⼝，防⽌⿊客通过端⼝扫描。

4. 线上⽣产服务器上开发⼈员使⽤的账号code⽤户的密码使⽤⼯具随机⽣成。

2.任务分析
1.在跳板机上为开发⼈员创建账号
2.公共⽬录需要有⾼级权限
3.禁⽌root⽤户远程登录系统
4.更改ssh协议的端⼝号
5.内⽹环境下安装软件
3.实验拓扑图
4.实验环境的介绍
1.PC为本机，已禁⽤VMware⽹卡1，本机IP为19
2.168.39.39/2
2.Jump-server为centos6虚拟机，安装两块⽹卡，ip分别为192.168.189.132/24; 1192.168.189.132/24,跳板机能够ping通PC和Service
3.service为Centos6虚拟机，安装⼀块⽹卡，IP为192.168.189.128
4.⽬前PC端⽆法连接192.168.189.0/24⽹段的所有IP
5.两个Centos均安装openssh-client和openssh-service
5,实验具体步骤
1.创建⽤户并增加相应权限
[root@jiangfeng1 ~]# groupadd coding
[root@jiangfeng1 ~]# useradd -G coding code1
[root@jiangfeng1 ~]# useradd -G coding code2
[root@jiangfeng1 ~]# echo123456 | passwd --stdin code1
更改⽤户 code1 的密码。

passwd：所有的⾝份验证令牌已经成功更新。

[root@jiangfeng1 ~]# echo123456 | passwd --stdin code2
更改⽤户 code2 的密码。

passwd：所有的⾝份验证令牌已经成功更新。

[root@jiangfeng1 ~]# mkdir -p /code/data
[root@jiangfeng1 ~]# chown :coding /code/data/
[root@jiangfeng1 ~]# chmod1770 /code/data/
[root@jiangfeng1 ~]# ll -d /code/data/
drwxrwx--T 2 root coding 4096 7⽉2003:33 /code/data/
2.禁⽌root远程登录和更改默认端⼝号
在Service端更改ssh服务的配置⽂件，
vi /etc/ssh/sshd-config
注：尽量不要更改配置⽂件注释的信息，如若需要更改，先复制⼀⾏在进⾏更改。

3.⽤户密码随机
因为我的service端为仅主机模式，所以⽆法连接互联⽹，所以我需要在Jump-service缓存下安装包，在通过scp发送到service端。

[root@jiangfeng1 network-scripts]# yum install pwgen
…………
已安装:
pwgen.x86_64 0:2.08-1.el6
完毕！
[root@jiangfeng1 6]# scp -P 10001 /var/cache/yum/x86_64/6/epel/packages/pwgen-2.08-1.el6.x86_64.rpm code@192.168.189.128:/tmp
The authenticity of host '[192.168.189.128]:10001 ([192.168.189.128]:10001)' can't be established.
RSA key fingerprint is df:28:9d:09:a3:bf:52:a6:e5:ce:f2:a4:04:0d:b8:cc.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.189.128]:10001' (RSA) to the list of known hosts.
code@192.168.189.128's password:
pwgen-2.08-1.el6.x86_64.rpm 100% 25KB 24.5KB/s 00:
[root@jiangfeng1 6]# pwgen -cnsB1 151
ajxmHfcUaT4Azht
[root@jiangfeng1 6]# echo ajxmHfcUaT4Azht | passwd --stdin code
4.测试
1.从PC端直接连接service
⽆法连接service。

2.从PC端通过Jump-service远程service
验证成功。