Hi,all
目前现状:
每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:
<a href="http://s3.51cto.com/wyfs02/M00/8B/03/wKiom1hBMsegdm7IAABpNyLkjIo282.jpg-wh_500x0-wm_3-wmp_4-s_289639570.jpg" target="_blank"></a>
下面以SecureCRT为例:
堡垒机:192.168.85.128
后端服务器:192.168.85.130(此服务器只允许堡垒机登录)
1、SecureCRT生成公钥私钥
首先“工具”-“创建公钥”
<a href="http://s5.51cto.com/wyfs02/M01/8A/FF/wKioL1hBMv_SkGFxAAHDMR8Z8Rk948.jpg-wh_500x0-wm_3-wmp_4-s_2128464134.jpg" target="_blank"></a>
<a href="http://s5.51cto.com/wyfs02/M02/8B/03/wKiom1hBMwCCuP6IAAGMJRQqujs451.jpg-wh_500x0-wm_3-wmp_4-s_190664806.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/8A/FF/wKioL1hBMwHCxJ-9AAHmqr3arVo922.jpg-wh_500x0-wm_3-wmp_4-s_4031747269.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/8B/03/wKiom1hBMwHhIHHAAAHLHnqVLOU069.jpg-wh_500x0-wm_3-wmp_4-s_602161362.jpg" target="_blank"></a>
<a href="http://s4.51cto.com/wyfs02/M02/8A/FF/wKioL1hBMwKDp0FVAAIZ6f4ucGg406.jpg-wh_500x0-wm_3-wmp_4-s_3164238182.jpg" target="_blank"></a>
2、配置ssh-agent
3、上传公钥到堡垒机和后端服务器并导入到authorized_keys
ssh-keygen -i -f Identity.pub >> authorized_keys
4、登录跳板机
设置私钥登录堡垒机,此时跳板机没有你的私钥,私钥在你本地保存,
<a href="http://s3.51cto.com/wyfs02/M02/8A/FF/wKioL1hBM22wT8E4AAOGcdhoyoM347.jpg-wh_500x0-wm_3-wmp_4-s_3562932681.jpg" target="_blank"></a>
<a href="http://s2.51cto.com/wyfs02/M00/8A/FF/wKioL1hBM3HyBQxyAAXYFIhwqUc860.jpg-wh_500x0-wm_3-wmp_4-s_272800755.jpg" target="_blank"></a>
5、通过跳板机登录到后端的192.168.85.130
本人使用的是SecureCRT 使用别的客户端的同学可以参考:
<a href="https://www.vandyke.com/support/tips/agent_forwarding.html" target="_blank">https://www.vandyke.com/support/tips/agent_forwarding.html</a>
还有一种是自己有linux服务器,需要在/etc/profile.d/目录放一个文件,文件已经在附件保存了。
本文转自 freeterman 51CTO博客,原文链接:http://blog.51cto.com/myunix/1878926,如需转载请自行联系原作者