在个人电脑上登录服务器使用SCP命令上传、下载文件时,堡垒机无法对上传、下载文件的操作进行审计。如果您想堡垒机对该操作进行审计,您可以在个人电脑上进行相关配置,从而达到堡垒机审计该操作的目的。

前提条件

  • 请确保个人电脑与堡垒机网络连接正常且可以正常登录堡垒机。
  • 已将运维的服务器的账户、密码托管至堡垒机。具体操作,请参见新建主机账户
  • 已在堡垒机上为使用个人电脑的堡垒机用户完成用户授权。具体操作,请参见按用户授权主机按用户授权主机组

操作步骤

  1. 登录进入个人电脑的系统终端界面。
  2. 执行以下命令,创建.ssh目录。
    mkdir ~/.ssh
  3. ssh_config文件放至~/.ssh目录下。
    如果您的个人电脑上没有ssh_config文件,您可以新建该文件。
  4. 执行以下命令,编辑ssh_config文件。编辑
    vi ~/.ssh/ssh_config
    以下为ssh_config文件中需要编辑的内容的模板,您可直接复制粘贴后对相关配置信息进行修改。
    #堡垒机别名,如果堡垒机没有使用别名,请删除别名的配置
    Host __USM__
    #堡垒机用户名(本地账号、AD/LDAP账号、RAM子账号)
    User 136xxxxxxxx
    #堡垒机IP
    Hostname 120.55.xx.xx
    #端口
    Port 60022
    
    #服务器1
    #服务器1的别名,如果服务器没有使用别名,请删除别名的配置
          Host cylinux123
    #服务器1的IP
         Hostname 192.168.21.98
    #服务器1端口
         Port 22
    
    #服务器2(如果只有一个服务器,请删除该服务器)
    #服务器2的别名,如果服务器没有使用别名,请删除别名的配置
          Host cylinux123
    #服务器2的IP
         Hostname 192.168.21.98
    #服务器2的端口
         Port 22
    
    #目标服务器
    Host 1* 2* 3* 4* 5* 6* 7* 8* 9*
    #关闭密钥验证
    PubkeyAuthentication no
    
    #设置堡垒机为代理。以下代理配置信息可直接复制使用,无需进行修改。
    ProxyCommand ssh -F /root/.ssh/ssh_config -A -q __USM__ -W %h:%p
    Host a* b* c* d* e* f* h* i* j* k* l* m* n* o* p* q* r* s* t* u* v* w* x* y* z*
    PubkeyAuthentication no
    ProxyCommand ssh -F /root/.ssh/ssh_config -A -q __USM__ -W %h:%p
    Host A* B* C* D* E* F* H* I* J* K* L* M* N* O* P* Q* R* S* T* U* V* W* X* Y* Z*
    PubkeyAuthentication no
    修改堡垒机和服务器的信息
    需要修改的配置信息说明如下:
    • 需要修改的堡垒机的信息
      • 堡垒机用户名
      • 堡垒机运维地址
      • 堡垒机运维端口(默认为60022)
    • 要修改的服务器的信息
      • 如果您在个人电脑上未设置堡垒机的别名,您需要修改服务器IP和端口(默认SSH协议连接端口为:22)。
      • 如果您在个人电脑上为单某个服务器设置了别名,您需要修改该服务器别名、服务器IP和端口(默认SSH协议连接端口为:22)。
      • 如果您在个人电脑上为多个服务器设置了别名,修改服务器的信息时,需将服务器别名、服务器IP和端口作为一个整体,多个服务器依次配置这部分内容。
  5. 执行以下命令,将文件上传或下载到服务器。上传
    scp -F .ssh/ssh_config filename root@192.168.XX.XX:/
    说明 如果连接服务器时出现错误提示:ssh_exchange_identification: Connection closed by remote host,请删除~/.ssh/known_hosts目录,然后再次执行上述命令,重新连接服务器。
    相关命令
    • SSH运维:
      ssh -F ~/.ssh/ssh_config root@xx.xx.xx.xx(服务器账号@ip或别名)
    • SCP上传文件:
      scp -F ~/.ssh/ssh_config filename root@xx.xx.xx.xx:/(传送的文件默认在根目录里面)
    • SCP下载文件:
      scp -F ~/.ssh/ssh_config root@xx.xx.xx.xx:/filename /root
    • Rsync上传文件:
      rsync -e "ssh -F /root/.ssh/ssh_config" -avp filename root@xx.xx.xx.xx:/
    • rsRsync下载文件:
      rsync -e "ssh -F /root/.ssh/ssh_config" -avp root@xx.xx.xx.xx:/filename /root

执行结果

在个人电脑上进行上述配置后,当您通过个人电脑使用SCP命令上传、下载文件到服务器时,堡垒机会对您的操作进行审计,您可以登录堡垒机查看相关的审计记录。具体操作,请参见搜索和查看会话审计记录