跳板服务器搭建教程:从基础配置到高级优化的全流程

a5idc更新于 2025-03-10 09:13:35首发于 2025-03-10 09:13:25技术参考454

跳板服务器搭建教程:从基础配置到高级优化的全流程

企业在网络安全和运维管理中,跳板服务器(Jump Server)被广泛用于控制访问其他服务器,确保服务器安全性。本文将详细介绍如何搭建跳板服务器,从基础配置到高级优化,让普通用户也能轻松搭建属于自己的跳板机。

1. 服务器架构

要搭建跳板服务器,首先需要合适的服务器硬件配置和操作系统:

  • CPU:2 核以上(推荐 4 核)
  • 内存:至少 2GB(推荐 4GB 以上)
  • 存储:20GB 以上
  • 带宽:取决于用户需求(推荐 10Mbps 以上)
  • 操作系统:Ubuntu 22.04 / Debian 11 / CentOS 7+

建议选择云服务器或独立服务器,以确保公网 IP 可用。

2. 配置跳板机(Jump Server)

2.1 安装 OpenSSH 服务器

大多数 Linux 发行版已预装 OpenSSH,如未安装,可使用以下命令安装:

# Ubuntu/Debian
sudo apt update && sudo apt install -y openssh-server

# CentOS
sudo yum install -y openssh-server

然后启动并设置开机自启:

sudo systemctl enable ssh
sudo systemctl start ssh

检查 SSH 是否运行:

sudo systemctl status ssh

2.2 创建跳板机用户

为了提高安全性,建议单独创建一个跳板用户:

sudo adduser jumpuser

然后为其设置密码:

sudo passwd jumpuser

赋予该用户 SSH 登录权限:

sudo usermod -aG sudo jumpuser

此时,跳板机基础环境已搭建完成。

3. 配置 SSH 免密登录

3.1 在客户端生成 SSH Key

在本地客户端(Windows 用户建议使用 WSL 或 Git Bash),执行:

ssh-keygen -t rsa -b 4096

会生成 `id_rsa`(私钥)和 `id_rsa.pub`(公钥)。将公钥拷贝到跳板机:

ssh-copy-id jumpuser@跳板机IP

或手动复制 `id_rsa.pub` 内容,并添加到跳板机:

nano ~/.ssh/authorized_keys

粘贴公钥后保存,修改权限:

chmod 600 ~/.ssh/authorized_keys

3.2 从跳板机连接目标服务器

登录跳板机后,执行:

ssh-keygen -t rsa -b 4096
ssh-copy-id user@目标服务器IP
ssh user@目标服务器IP

配置完成后,跳板机即可连接目标服务器。

4. 使用 SSH Proxy 作为跳板

4.1 直接通过 SSH 跳板访问目标服务器

为了简化操作,可以在本地 `~/.ssh/config` 配置:

Host jump
HostName 跳板机IP
User jumpuser
IdentityFile ~/.ssh/id_rsa

Host target
HostName 目标服务器IP
User user
ProxyJump jump

之后,用户可以直接输入:

ssh target

跳板机会自动代理连接目标服务器。

5. 记录 SSH 登录日志

5.1 启用 SSH 登录日志

编辑 `/etc/ssh/sshd_config`:

sudo nano /etc/ssh/sshd_config

找到 `#LogLevel INFO`,修改为:

LogLevel VERBOSE

然后重启 SSH:

sudo systemctl restart ssh

5.2 记录用户命令

使用 `auditd` 记录 SSH 用户执行的命令:

sudo apt install -y auditd
sudo systemctl enable auditd
sudo systemctl start auditd

添加 SSH 用户活动监控:

sudo auditctl -a always,exit -F arch=b64 -S execve -F key=ssh_commands

6. 限制跳板机访问权限

6.1 只允许指定用户使用跳板

编辑 `/etc/ssh/sshd_config`:

sudo nano /etc/ssh/sshd_config

添加:

AllowUsers jumpuser

然后重启 SSH:

sudo systemctl restart ssh

6.2 使用防火墙限制访问

推荐使用 `ufw` 限制 SSH 访问:

sudo ufw allow from 你的本地IP to any port 22
sudo ufw enable

6.3 启用 Fail2Ban 保护 SSH

安装 Fail2Ban:

sudo apt install -y fail2ban

创建 SSH 保护规则:

sudo nano /etc/fail2ban/jail.local

添加:

[sshd]
enabled = true
bantime = 3600
findtime = 600
maxretry = 3

然后重启:

sudo systemctl restart fail2ban

完成上述步骤后,你的跳板服务器已具备:

  • SSH 免密登录
  • SSH 代理跳转
  • 日志记录
  • 访问控制
  • 自动封禁恶意 IP

这样一台安全、稳定的跳板服务器即可投入使用。

未经允许不得转载:A5数据 » 跳板服务器搭建教程:从基础配置到高级优化的全流程
标签

相关文章

随机推荐

热门排行

热门标签

contact
Copyright © 2020 A5IDC.COM 版权所有 渝ICP备17007481号-6号