本文受众范围:云盾堡垒机运维人员。

透明代理(socks5代理)模式

堡垒机透明代理(socks5代理)模式,针对linux运维体验进行优化,旨在提高运维人员体验,契合原有的运维习惯,请结合自身情况判断是否需要使用。

实现原理

  1. 建立ssh的socks5隧道,隧道建立后产生数据通道A通道为:socks5服务端—ssh客户端进程1—堡垒机ssh服务
  2. 设置socks5代理,使对目标主机的访问通过socks5隧道完成。最终的数据通道为:ssh客户端进程2—socks5客户端—A通道—目标主机

图形客户端配置

以Xshell为例,操作步骤如下:
  1. 新建Xshell会话,建立ssh的socks5隧道,即与堡垒机建立隧道连接在会话配置中分别填入堡垒机IP端口(60022)

    • 填写堡垒机用户名密码/密钥(也可打开会话时手动输入)。

    • ssh配置,勾选红框中内容。

    • 进入会话属性的SSH-隧道菜单。

    • 单击添加,按下图设置。


    • 单击确定,保存并打开会话,保持在如下界面,此时隧道已经建立。

  2. 新建会话,填写目标服务器IP、端口。

    • 填写服务器用户名密码(也可打开会话时输入,若堡垒机授权组内绑定了凭据,则可只填用户名,不需要填写密码)。

    • 进入SSH-代理菜单,单击浏览

    • 单击会话,添加代理,按照下图配置。

    • 保存后,返回代理菜单勾选该服务器。

    • 打开会话,可直接登录至已授权给用户使用的服务器,且流量可在堡垒机内进行审计。

  3. 批量配置代理服务器可在建立多个Xshell会话后,选中多个会话,点击右键属性,批量配置代理服务器。


  4. 配置完成后,只需打开Xshell会话即可登录服务器,不需要先登录堡垒机再选择服务器进入。

openssh配置

说明
此方法不支持密钥登录堡垒机(密钥登录服务器可将私钥存在堡垒机凭据中)
  1. 编辑~/.ssh/ssh_config文件(没有该文件可新建),输入如下内容(可直接复制,更改堡垒机用户名与IP即可)。
    #堡垒机别名 
    Host __USM__ 
    #堡垒机用户名(本地账号、AD/LDAP账号、RAM子账号) 
    User 136xxxxxxxx 
    #堡垒机IP 
    Hostname 120.55.xx.xx 
    #端口 
    Port 60022 
    
    
    #目标服务器 
    Host 1* 2* 3* 4* 5* 6* 7* 8* 9* 
    #关闭密钥验证 
    PubkeyAuthentication no 
    #设置堡垒机为代理 
    ProxyCommand ssh -F /root/.ssh/ssh_config -A -q __USM__ -W %h:%p 
    Host a* b* c* d* e* f* h* i* j* k* l* m* n* o* p* q* r* s* t* u* v* w* x* y* z* 
    PubkeyAuthentication no 
    ProxyCommand ssh -F /root/.ssh/ssh_config -A -q __USM__ -W %h:%p 
    Host A* B* C* D* E* F* H* I* J* K* L* M* N* O* P* Q* R* S* T* U* V* W* X* Y* Z* 
    PubkeyAuthentication no 
    ProxyCommand ssh -F /root/.ssh/ssh_config -A -q __USM__ -W %h:%p
  2. 指定配置文件即可通过堡垒机进行登录、文件上传下载等操作。
    • 通过堡垒机登录xxx.xxx.xxx.xxx服务器。ssh -F .ssh/ssh_config root@xxx.xxx.xxx.xxx

      按要求输入堡垒机用户密码。

    • 通过堡垒机与xxx.xxx.xxx.xxx互相上传下载文件。scp -F .ssh/ssh_config filename root@xxx.xxx.xxx.xxx:/
      说明
      若连接时出现如下错误:ssh_exchange_identification: Connection closed by remote host,请删除~/.ssh/known_hosts后再次执行。
      说明
      此功能的目的为减少运维人员登录操作,请依据自身情况判断酌情使用。