Hi,all
目前现状:
每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:
下面以SecureCRT为例:
堡垒机:192.168.85.128
后端服务器:192.168.85.130(此服务器只允许堡垒机登录)
1、SecureCRT生成公钥私钥
首先“工具”-“创建公钥”
2、配置ssh-agent
3、上传公钥到堡垒机和后端服务器并导入到authorized_keys
ssh-keygen -i -f Identity.pub >> authorized_keys
4、登录跳板机
设置私钥登录堡垒机,此时跳板机没有你的私钥,私钥在你本地保存,
5、通过跳板机登录到后端的192.168.85.130
本人使用的是SecureCRT 使用别的客户端的同学可以参考:
https://www.vandyke.com/support/tips/agent_forwarding.html
还有一种是自己有linux服务器,需要在/etc/profile.d/目录放一个文件,文件已经在附件保存了。
本文转自 freeterman 51CTO博客,原文链接:http://blog.51cto.com/myunix/1878926,如需转载请自行联系原作者
