Hi,all

目前现状:

每个同事的私钥和公钥都保存在bastion服务器,bastion如果被攻破,bastion后端的服务器安全就荡然无存了。基于这种考虑,现在把公钥和私钥保存在自己的本地,bastion和bastion后端的服务器只保存公钥,这样就算bastion被攻破,bastion服务器也不存在安全威胁,架构如下图:

wKiom1hBMsegdm7IAABpNyLkjIo282.jpg-wh_50

下面以SecureCRT为例:

堡垒机:192.168.85.128

后端服务器:192.168.85.130(此服务器只允许堡垒机登录)

1、SecureCRT生成公钥私钥

      首先“工具”-“创建公钥”

      

wKioL1hBMv_SkGFxAAHDMR8Z8Rk948.jpg-wh_50

wKiom1hBMwCCuP6IAAGMJRQqujs451.jpg-wh_50

wKioL1hBMwHCxJ-9AAHmqr3arVo922.jpg-wh_50

wKiom1hBMwHhIHHAAAHLHnqVLOU069.jpg-wh_50

wKioL1hBMwKDp0FVAAIZ6f4ucGg406.jpg-wh_50

2、配置ssh-agent

      wKioL1hBMx3Tstc6AAK92t-DGb4800.jpg-wh_50

 3、上传公钥到堡垒机和后端服务器并导入到authorized_keys

       ssh-keygen -i -f Identity.pub >> authorized_keys

 4、登录跳板机

       设置私钥登录堡垒机,此时跳板机没有你的私钥,私钥在你本地保存,

   

wKioL1hBM22wT8E4AAOGcdhoyoM347.jpg-wh_50

wKioL1hBM3HyBQxyAAXYFIhwqUc860.jpg-wh_50

       

5、通过跳板机登录到后端的192.168.85.130

     wKioL1hBM4fQp-amAAwmnM1EgTo953.jpg-wh_50

本人使用的是SecureCRT 使用别的客户端的同学可以参考:

https://www.vandyke.com/support/tips/agent_forwarding.html



还有一种是自己有linux服务器,需要在/etc/profile.d/目录放一个文件,文件已经在附件保存了。