本文介绍运维安全中心(堡垒机)连接服务器时的常见问题以及解决方案。
通过堡垒机访问服务器失败,该如何解决?
首先测试堡垒机与服务器的IP及端口是否连通。具体操作,请参见网络诊断。
如果显示连通性测试失败,可以通过以下方法进行排查:
服务器端口号是否做过更改(非标准协议端口),需在堡垒机资产管理页面修改对应主机服务端口。具体操作,请参见修改主机的服务端口。
检查安全组是否放行堡垒机出口IP。如何添加安全组,请参见管理安全组规则;您可以访问堡垒机控制台,在堡垒机实例列表获取出口IP。
检查服务器本身是否配置有网络ACL、安全组、云防火墙、以及服务器内的iptables或防火墙(Windows防火墙或其他防护软件)的相关策略是否阻拦堡垒机访问。
检查服务器的/etc/hosts.allow和/etc/hosts.deny配置文件是否限制堡垒机访问。
查看云防火墙开关是否开启对堡垒机实例的保护以及对应安全策略是否有限制拦截,具体操作,请参见云防火墙和运维安全中心(堡垒机)联合部署访问策略的最佳实践。
如果堡垒机访问的是服务器内网并且不通,需要排查堡垒机和服务器是否有打通网络。参考混合运维场景最佳实践。
查看服务器的IP是否与堡垒机内网出口IP和内网域名解析出的IP冲突,导致服务器数据无法到达堡垒机。
检查服务器IP是否为公网私用IP。如果您服务器IP为公网私用IP,您可以在堡垒机中配置公网私用,具体操作,请参见配置堡垒机。
如果显示连通性测试成功,可以通过以下方法进行排查:
尝试绕过堡垒机直接连接服务器是否能正常访问,如果不能,则需要排查服务器本身协议连接问题,建议参考【推荐】无法远程连接Windows实例的处理方法,无法通过SSH远程登录Linux实例时的排查指引。
绕过堡垒机可以连接,但是通过堡垒机不能连接,如果有具体报错可以参考堡垒机运维常见报错提示。
如果以上排查均不能定位问题,请提交售后工单。
堡垒机新建主机账户验密报错,该如何解决?
您可以通过以下方法解决:
现象一:验密超时或失败。
验密超时一般是网络不通导致,需要先测试堡垒机到资产的连通性。具体操作,请参见网络诊断。
如果连通性不正常,可能是堡垒机到主机的网络不通。更多信息,请参见堡垒机连接服务器相关问题。
如果连通性正常,但还是显示验密超时或失败,可能是网络同步不及时。您可以先把账户密码托管到堡垒机上,再尝试资产运维。托管账户密码到堡垒机,请参见配置主机账户。
现象二:验密失败,密码错误。
密码认证时,填写的账户密码需要和资产上设置的账户密码保持一致,您可以检查下账户密码的填写是否正确。具体操作,请参见配置主机账户。
如果运维的是Linux主机,请检查ssh_config文件中是否禁用了root账户或密码认证。
堡垒机主机运维页面看不到主机,是什么原因?
RAM用户未授权主机:请您为RAM用户授权主机后再查看,具体操作,请参见为用户授权资产及资产账户。
RAM用户已授权主机:请您使用授权主机的RAM用户登录堡垒机进行查看。
登录堡垒机之后为什么显示EMPTY账户?
您在系统设置中勾选允许用户未授权资产账户访问资产之后,如果只给运维人员授权了资产但是未授权主机账户,登录时就会显示EMPTY账户。如何授权主机账户,请参见为用户授权资产账户。
堡垒机通过密钥认证方式访问服务器失败,该如何解决?
仅V3.2.38以下版本的堡垒机会出现该问题。
部分操作系统(如Rocky 9、Ubuntu 22.04及以上)服务器使用OpenSSH 8.7及以上版本,默认禁用ssh-rsa公钥签名算法,导致堡垒机通过密钥认证访问该服务器失败。您可以参考以下步骤配置sshd_config文件,手动启用服务器端ssh-rsa公钥签名算法的参数。
打开sshd_config配置文件。
vim /etc/ssh/sshd_config在sshd_config配置文件中,添加如下配置内容并保存。
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa重启sshd服务。
systemctl restart sshd