一、堡垒机介绍
为了保证机房的网络安全,IDC内所有服务器不被允许从办公网直接ssh登录,必须通过跳板机进行间接登录。用户通过跳板机执行的所有命令(包括通过跳板机登录的其他机器后的命令)都会被保存并审计。 cs是我们登录IDC服务器的跳板机,在cs上用户只能执行ssh、passwd等简单命令,cs只做ssh跳板机儿不做日常工具机使用。 cs的特点: 利用google开源软件,手机端(产生跟用户绑定的动态秘钥)和验证服务器端均不依赖网络,只依赖时间 半分钟变化一次,不会因为手机时钟轻微的不准确导致认证失败 比起常规固定密码登陆安全性好
二、堡垒机权限申请流程及所需提交的信息:
初次申请堡垒机账号,请使用域账号登录 http://protoss.ds.gome.com.cn/ 平台,以便授权时用户信息查找,并且至少有一台服务器已完成授权,才可正常登陆堡垒机。 申请堡垒机服务器权限流程 申请人提交申请信息---应用运维负责人(SRE运维)-–堡垒机管理员(陈英杰) 申请堡垒机账号原因: 申请内容如下格式: 域账号 服务器ip 环境 权限角色 chenchao-ds 10.58.56.139 sit gome_guest 要申请的服务器权限:gadmin(相当于root权限)、work(部署应用使用账号)、gome_guest(查看日志使用账号) 服务器环境:生产、测试(也可写明sit、uat、pre,如不清楚可直接写测试) 三、手机谷歌认证安装方法(访问堡垒机必须安装) Android用户 1.在您的手机上安装以下两种软件(如果自带应用商店搜索不到,请先下载应用宝,从应用宝中下载谷歌动态口令、条码扫描器;
2.扫描成功后选择打开app手工输入账号、秘钥或扫描邮件附件二维码
安卓用户可使用电脑版微信将邮件中秘钥发送给自己,从手机上复制秘钥串
保存后该动态秘钥即被成功添加到手机的google身份认证器中,并每半分钟变化一次。
苹果用户
在app store中安装google authenticator,然后进入该软件选择编辑,点击手动输入验证码,输入账号、秘钥或扫描邮件附件二维码
电脑端设置(以secureCRT为例)
- 新建一个连接
此处用户名应和gomeplus.com邮箱前缀相同
2、打开这个连接,依次输入动态码和密码(域账号密码)
3、进入系统
登录不同服务器,不需要重复连接堡垒机,可直接复制SSH渠道
Xshell 工具登录设置
1、新建连接
2、 用户身份验证设置,完后确定保存
3、设置完成以上两步,连接先输入手机口令,然后输入域账号密码
4、完成登录
登录不同服务器,不需要重复连接堡垒机,可直接复制SSH渠道
文件上传方法:
1、登录CS跳板机系统后提示如下
### 欢迎使用 CS 跳板机系统 ###
1) 输入 ID 直接登录.
2) 输入 / + IP, 主机名 or 备注 搜索.
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机.
7) 输入 U/u 批量上传文件.
8) 输入 D/d 批量下载文件.
9) 输入 H/h 帮助.
0) 输入 Q/q 退出.
根据提示输入u
Opt or ID>: u
进入批量上传模式
请输入IP或ansile支持的pattern, 多个主机:分隔 q退出
Pattern>:
输入ip后选择要上传的文件
上传成功后登录服务器到/tmp下查看文件
也可使用lrzsz工具上产下载,rz上传时请加-be参数
)
)
