【Linux】SSH:简单端口转发的跳板机

T0uken2025-06-12 6:03

本教程介绍如何配置一个SSH跳板机(堡垒机),允许特定用户(jumpuser)通过跳板机转发连接到内网机器,同时禁止直接登录或在跳板机上执行命令。配置设计简洁、安全且易于维护。此外,还包括如何将特定内网主机名(如 xxx.intranet)绑定到特定IP地址的步骤。

前提条件

  • 一台安装了SSH服务器(sshd)的Linux跳板机。
  • 跳板机的管理员权限。
  • 客户端机器上安装了SSH客户端。

在跳板机上创建并配置 jumpuser

在跳板机上创建专用用户 jumpuser,并限制其直接登录权限。

bash 复制代码 
sudo useradd -m jumpuser -s /usr/sbin/nologin
  • -m:为 jumpuser 创建家目录。
  • -s /usr/sbin/nologin:将用户shell设置为 nologin,阻止shell登录。

这确保 jumpuser 无法直接登录或在跳板机上执行命令。

配置SSH服务器(sshd_config

修改跳板机的SSH服务器配置文件(/etc/ssh/sshd_config),为 jumpuser 设置限制并启用端口转发。

/etc/ssh/sshd_config 文件末尾添加以下 Match User 配置块:

ssh 复制代码 
Match User jumpuser
    ForceCommand echo '此账户仅用于跳板机,无法直接登录。'; exit 1
    PermitTTY no
    AllowTcpForwarding yes
    PermitOpen any
    X11Forwarding no

配置说明

指令 作用
ForceCommand 执行固定命令(显示提示并退出),阻止其他命令执行。
PermitTTY no 禁用TTY分配,防止交互式会话。
AllowTcpForwarding yes 启用SSH端口转发,允许 jumpuser 使用跳板机作为代理。
PermitOpen any 允许转发到任意内网主机和端口(默认受限)。
X11Forwarding no 禁用X11图形转发,增强安全性。

更新配置后,重启SSH服务:

bash 复制代码 
sudo systemctl restart sshd

绑定内网主机名到特定IP

为了将特定内网主机名(例如 xxx.intranet)绑定到特定IP地址(如 10.0.0.10),在跳板机上修改 /etc/hosts 文件。

  1. 编辑 /etc/hosts 文件:

    bash 复制代码 
    sudo vi /etc/hosts

  2. 添加以下行,将主机名绑定到IP地址:

    text 复制代码 
    10.0.0.10 xxx.intranet

  3. 保存文件并退出。

  4. 验证绑定是否生效:

    bash 复制代码 
    ping xxx.intranet

    确保返回的IP地址为 10.0.0.10

注意 :此配置仅在跳板机上生效。如果内网其他机器需要解析 xxx.intranet,需要在每台机器的 /etc/hosts 文件中添加类似条目,或使用内网DNS服务器统一管理。

配置客户端SSH

在客户端机器上,配置 ~/.ssh/config 以简化通过跳板机访问内网主机。

~/.ssh/config 中添加以下内容:

ssh 复制代码 
Host *.intranet
    ProxyJump jumpuser@jump.example.com
  • Host *.intranet:适用于任何以 .intranet 结尾的主机名(如 xxx.intranet)。
  • ProxyJump:指定跳板机(jumpuser@jump.example.com)用于转发。

或者直接使用命令行:

bash 复制代码 
ssh -J jumpuser@jump.example.com xxx.intranet
  • -J:指定跳板机用于SSH转发。

预期效果

操作 结果
ssh jumpuser@jump.example.com ❌ 拒绝(显示提示并退出)
ssh -J jumpuser@jump.example.com xxx.intranet ✅ 允许(连接到 10.0.0.10
ssh -J jumpuser@jump.example.com 10.0.0.10 ✅ 允许(连接到内网主机)

安全性增强建议

为进一步提高跳板机安全性,建议以下措施:

  1. 禁用密码认证

    /etc/ssh/sshd_config 中添加以下内容,强制使用密钥认证:

    ssh 复制代码 
    PasswordAuthentication no

    这将禁用密码登录,增强安全性。

  2. 使用Fail2Ban或防火墙

    使用 fail2ban 或防火墙(如 iptablesufw)阻止暴力破解攻击。

  3. 限制跳板机访问

    通过防火墙规则或 sshd_config 中的 AllowUsersListenAddress 限制特定IP范围的SSH访问。

  4. 监控日志

    定期检查SSH日志(/var/log/auth.log/var/log/secure),以发现可疑活动。

总结

本配置提供了一个安全、简洁且易于维护的SSH跳板机解决方案。jumpuser 账户被限制无法直接登录,同时允许无缝转发到内网主机,包括通过主机名(如 xxx.intranet)访问特定IP地址。通过实施安全性增强措施,可进一步保护跳板机免受未经授权的访问。

相关推荐
代码中介商10 小时前
Linux 基础命令完全指南:从文件操作到进程管理
linux·运维·服务器
Agent产品评测局10 小时前
律所行业自动化平台选型,合同审核与案件管理优化 | 2026年法律科技Agent化演进与企业级智能体实测横评
运维·人工智能·科技·ai·chatgpt·自动化
思麟呀10 小时前
应用层协议HTTP
linux·服务器·网络·c++·网络协议·http
一个人旅程~10 小时前
linuxmint如何使用iphone手机上网以及如何管理iphone手机的照片和文件?需要下载哪些基础包和依赖?
linux·windows·经验分享·电脑
何中应10 小时前
Docker-Compose环境配置&使用
运维·docker·容器
异步的告白10 小时前
链接脚本SECTIONS逐行深度解析
linux·开发语言
南境十里·墨染春水11 小时前
linux学习进展 信号
linux·服务器·学习
花间相见11 小时前
【大模型微调与部署02】—— ms-swift 自定义数据集完全教程:格式、dataset_info 配置、多格式兼容实战
开发语言·ssh·swift
SiYuanFeng11 小时前
一展使用gpt-5-mini和gemini-3.1-flash-image-preview-0.5k的运行demo代码
linux·python·gpt
YuanDaima204811 小时前
堆(优先队列)基础原理与题目说明
linux·运维·服务器·人工智能·python··代码
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05GPT-6发布日深度解析-Symphony架构200万Token实战06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程08一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛09从限购到畅通:GLM-5.1 Coding Plan接入攻略10基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南