正文

远程运维就走这道门:搞定 Linux 堡垒机的正确姿势

admin
admin V管理员 /0 评论 /5 阅读
1031
文章最后更新时间2025年10月31日,若文章内容或图片失效,请留言反馈!

👋 那道“只能走堡垒机”的门

“生产库只能从堡垒机登,别直接 SSH 啦。” ——如果你在公司做过运维,大概率听过这句话。

简单说,堡垒机(Bastion Host)就是内网的唯一入口,一道能审计、能限权、能追踪的“铁闸门”。 所有远程操作,都要从它走。

这篇文章,用小白也能上手的方式,带你从 0 到 1 配好这道门。 不讲玄学,只讲能落地的操作与防坑要点。

一、它到底是个啥:先把“门口”立起来

想象一下你家门口装了防盗门——送快递、上门维修都得先登记。 堡垒机也是这样,只不过登记的是远程登录。

  • 它位于外网与内网之间,只干一件事:安全地中转管理员会话
  • 好处是把攻击面集中在一台可控机器,方便限权、审计、监控
  • 常见用法包括:SSH 跳转、ProxyCommand、SSH 隧道等。

👉 别让所有人都能直达内网,先让他们都“过门”。

二、最小可用路线:先做对,再做全

像装门锁一样,先把“锁”和“钥匙”整明白。

推荐最小可用配置路线(别怕,一步步来就行):

1️⃣ 更新系统与清理

apt update && apt upgrade -yapt autoremove -y

确认版本来源没问题:uname -aapt policy

2️⃣ SSH 改成只允许密钥登录

  • 禁止密码登录:PasswordAuthentication no
  • 禁止 root 登录:PermitRootLogin no
  • 指定允许用户/组:AllowUsers yourname

3️⃣ 防火墙只放 SSH 端口

  • 默认策略:INPUT/FORWARD DROP,OUTPUT ACCEPT;
  • 显式放行 SSH 端口;
  • 持久化保存规则或用云安全组管理。

4️⃣ 防暴力破解

  • 安装 Fail2ban;
  • 启用 [sshd],设置 maxretry=3bantime=1h

✅ 锁装好、钥匙管严、门缝堵紧,再装个自动挡客的保安

三、密钥与账号:谁能进,要说清楚

钥匙不能乱配,更不能无限复制。

  • 登录一律用公钥认证;
  • 公钥集中管理,别“临时扔一把”;
  • 从受控仓库同步“允许的公钥列表”,覆盖式更新;
  • 权限要对:.ssh 目录 700、authorized_keys 600;
  • 离职或调岗的账号要即时吊销。

👉 钥匙要少而精、可追可回收。

四、审计与监控:有人来过门口,要有录像

没有日志,就像监控断电。

  • 打开 SSH 日志(/var/log/auth.log);
  • 登录成功/失败都转发到集中日志系统(如 SIEM);
  • 用 auditd 监控关键系统调用;
  • 云上可叠加安全组日志与 WAF 告警。

👉 守门要“看得见”。没日志=没防线。

五、服务最小化与内核加固:少开口子,少进风

堡垒机不是什么都能装。

  • 停掉不必要服务(打印、GUI、RPC等);
  • 只保留必要端口;
  • 推荐 sysctl 加固项:
    • net.ipv4.ip_forward=0
    • rp_filter=1
    • accept_redirects=0send_redirects=0
    • tcp_syncookies=1
    • log_martians=1

👉 没用的窗户都关上,风自然小。

六、权限与 MFA:双重把关更稳

刷门禁卡还要指纹验证?堡垒机同理。

  • sudo 按命令授权,别用全局 NOPASSWD
  • 定期复查权限;
  • 登录加上双因素认证(MFA),比如基于 TOTP 的 2FA;
  • 高危操作建议审批+临时令牌,到点失效。

👉 少给钥匙,多重确认,出错空间更小。

七、日常运维:门也要定期保养

  • 开启自动安全更新(如 unattended-upgrades);
  • 所有配置变更走配置管理工具(Ansible、Salt等);
  • 定期检查:端口、服务、账户、sudo、Fail2ban 状态;
  • 定期备份并做恢复演练。

👉 稳定靠流程,安全靠习惯。

🔧 实用清单(收藏级)

✅ SSH 改前先开新会话测试; 

✅ 禁 root 登,用 AllowGroups sshusers 控入口; 

✅ 改端口≠安全本质,别迷信“换号防盗”; 

✅ Fail2ban 建议从 maxretry=3bantime=1h 起步;

✅ iptables 默认 DROP,逐条显式放行; 

✅ authorized_keys 用受控源同步,权限对齐; 

✅ sudo 每条规则独立文件 /etc/sudoers.d/; 

✅ 自动更新灰度观察 1–2 周再放量; 

✅ 日志包含登录、提权、配置改动,集中上报 SIEM 告警。

🧭 小结:三句话记住堡垒机

1️⃣ 一扇门:所有访问先过堡垒机; 2️⃣ 两把锁:密钥 + MFA 双重校验; 3️⃣ 三层账:日志审计全链可追。

这,就是一台安全、耐打、可管可追的 Linux 堡垒机

搭堡垒机不是难事,难的是让“安全”成为习惯。

关注我们的公众号,并给本文点赞,点个推荐支持一下吧!您的每一个小红心,都是我坚持创作优质内容的最大动力


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com