linux堡壘機

㈠ Linux伺服器集群只允許堡壘機SSH登錄

    在區域網中的Linux伺服器集群，為了保障運維安全，只能從堡壘機登錄到各個Linux伺服器。那麼需要對Linux伺服器集群進行安全加固，限制訪問許可權。在堡壘機上可以部署腳本來記錄用戶操作的審計日誌（詳情參考筆者的文章），那麼整個區域網的Linux伺服器集群的安全性就可以大大提高。

    堡壘機作用明顯，其提供運維統一入口和安全審計功能，切斷直接訪問和事後審計定責，解決「運維混亂」變得「運維有序」 。

   下面是三種方法總結。分別從服務端，系統端、防火牆端來完成只允許堡壘機SSH登錄的功能。

1、/etc/ssh/sshd_config

    修改添加AllowUsers到ssh配置文件/etc/ssh/sshd_config  ：

    AllowUsers [email protected].*

    然後重啟 sshd服務：systemctl restart sshd

2、hosts.allow與hosts.deny

    修改/etc/hosts.deny中添加設置 sshd : ALL ，拒絕所有的訪問；

    修改/etc/hosts.allow，添加設置sshd : 20.132.4.* ，單獨開啟某個IP地址 。

    這兩個文件優先順序為先檢查hosts.deny，再檢查hosts.allow。

    更加詳細信息參考筆者的文章-Linux中hosts.allow與hosts.deny  。

3、iptables防火牆

    tcp協議中，禁止所有的ip訪問本機的22埠。

    iptables -I INPUT -p tcp--dport 22 -j DROP

    只允許20.132.4.* 訪問本機的22埠

    iptables  -I  INPUT  -s  20.132.4.*   -ptcp  --dport  22  -j   ACCEPT

    另外/etc/pam.d/sshd也可以提供訪問控制功能，調用的pam_access.so模塊是根據主機名、IP地址和用戶實現全面的訪問控制，pam_access.so模塊的具體工作行為根據配置文件/etc/security/access.conf來決定。但是囿於資料過少，待以後遇到再解決把。

㈡ 堡壘機有哪些核心功能堡壘機的核心功能介紹

單點登錄功能、賬號管理、身份認證、資源授權、訪問控制、操作審計。介紹同一樓~~，碉堡堡壘機具備這些功能