• 欢迎访问运维搬运工网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站。
  • 本站一年会员:100元 ,两年会员:180元 ,永久会员:380元
  • 这世界就是,一些人总在昼夜不停地运转,而另外一些人,起床就发现世界已经变了。
  • 本博客推广的是知识付费,用赞助的方式实现博客维护,不以赚钱为目的的博客

终端登录方案

安全登录

用户通过VPN连接到生产或者dev环境堡垒机器,然后通过堡垒机的二级账号xiaoxin连接到目标机器(所有的目标机器只能通过堡垒机器指定私钥进行连接,不能使用root账号或者xiao的账号密码登录。

除过堡垒机器外,所有的目标机器禁用账号密码登录,只能在堡垒机指定私钥登录。

所有的目标机器操作相关命令时,前面加 sudo即可。

创建二级账号:xiao

[root@iZ2zec3qewe49ghu2jdcpaZ ~]# useradd xiao

添加二级账号调用root权限

[root@iZ2zec3qewe49ghu2jdcpaZ ~]# visudo

xiao ALL=(ALL) NOPASSWD:ALL

生成公钥和私钥

[xiao@iZ2zec3qewe49ghu2jdcpaZ ~]$ ssh-keygen -t rsa  -f xiaoxin.tech -C 'Welcome to xiaoxin Cloud Elastic Compute Service !'

Generating public/private rsa key pair.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in xiaoxin.tech.

Your public key has been saved in xiaoxin.tech.pub.

The key fingerprint is:

SHA256:FO8pK4cT5H2uXCd02Ubd1beuDEBE8+uitm3+X2BxnRA Welcome to xiaoxin Cloud Elastic Compute Service !

The key's randomart image is:

+---[RSA 2048]----+

|        ++   E. o|

|         +o   ..B|

|      . o .. ..o*|

|     o o o ..+o. |

|      o S *.oo+  |

|       o *.o.... |

|      + o.+.+ .. |

|       *o+.o o.  |

|      .o*o....   |

+----[SHA256]-----+

目标机器设置

公钥内容复制到 ~/.ssh/authorized_keys文件
保存后,对.ssh目录和其中的authorized_keys公钥文件设置相应的权限:

[root@iZ2zec3qewe49ghu2jdcp9Z ~]# su - xiao

Last login: Wed Sep 11 10:58:03 CST 2019 on pts/0

[xiao@iZ2zec3qewe49ghu2jdcp9Z ~]$ mkdir -p /home/xiao/.ssh

[xiao@iZ2zec3qewe49ghu2jdcp9Z ~]$ touch /home/xiao/.ssh/authorized_keys

[xiao@iZ2zec3qewe49ghu2jdcp9Z ~]$ chmod -R 0700 /home/xiao/.ssh

[xiao@iZ2zec3qewe49ghu2jdcp9Z ~]$ chmod -R 0644 /home/xiao/.ssh/authorized_keys

[xiao@iZ2zec3qewe49ghu2jdcp9Z .ssh]$ cat authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCsiG4Wt2Lb8OZQnZQ1xVkVEaziB8aSD/VZPHk2awxQ0imRPh7RUYlTSdS4R/0sOf3Bt2soysIumQMWae78h8vc3u/FTwOiAgnmjRWNmwrw7/C/8QBEwa3/iVqhEHB342ZwoSd1te5d6Gv4h8jIacA7vjqYMKeqexndQx+UaRBgb1K/tl6PIfzJsxLsxDKNHwvy/fAFyMttJjR6ibFY43YYYiuf7phfOM8pnHXecAv1JvAnwQJx/Ousc8TL51Y7mLWJTFZO6l0TSv1QGa2NZG5gKtwAKbqKNBqy+/kuqHaxuoBluTBhCZMVFv5hBt+cl6Jl2n0c8QAPc6+62A6Dma9V Welcome to xiaoxin Cloud Elastic Compute Service !

修改sshd配置文件

[root@iZ2zec3qewe49ghu2jdcp9Z ~]# vim /etc/ssh/sshd_config

PubkeyAuthentication yes  ###启用公钥认证

StrictModes no  ###  修改为no,如果不修改用key登陆是出现server refused our key(如果StrictModes为yes必需保证存放公钥的文件夹的拥有与登陆用户名是相同的

PasswordAuthentication no ####禁止密码登录
重启服务
[root@iZ2zec3qewe49ghu2jdcp9Z ~]# systemctl restart sshd.service

验证登录

[xiao@iZ2zec3qewe49ghu2jdcpaZ ~]$ ssh -i xiao.tech xiao@10.0.0.171

The authenticity of host '10.0.0.171 (10.0.0.171)' can't be established.

ECDSA key fingerprint is SHA256:jliK95rQqPCvwGJu4euFx1m7uxYHXfDpuJA8CbWbIcg.

ECDSA key fingerprint is MD5:eb:96:6c:bd:ce:5e:74:7e:59:a6:c1:20:14:34:19:e4.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '10.0.0.171' (ECDSA) to the list of known hosts.

Last login: Wed Sep 11 11:01:56 2019

Welcome to Alibaba Cloud Elastic Compute Service !

[xiao@iZ2zec3qewe49ghu2jdcp9Z ~]$ ip add

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

link/ether 00:16:3e:14:12:e2 brd ff:ff:ff:ff:ff:ff

inet 10.0.0.171/24 brd 10.0.0.255 scope global eth0

valid_lft forever preferred_lft forever


也可以不指定账号

[xiao@iZ2zec3qewe49ghu2jdcpaZ ~]$ ssh -i xiao.tech 10.0.0.171

Last login: Wed Sep 11 11:25:49 2019 from 10.0.0.169




Welcome to Alibaba Cloud Elastic Compute Service !


运维搬运工 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:终端登录方案
喜欢 (0)
[扫描二维码]
分享 (0)
大自然搬运工
关于作者:
不是路不平,而是你不行。到底行不行,看你停不停。只要你不停,早晚都能行。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址