【堡垒机 堡垒主机技术】cat >> /etc/hosts.deny << \EOFsshd:ALL:spawn echo `date` login attempt from %c to %s ,the host is %h .PID is %p >> /var/log/tcpwrapper.logEOFecho "#只允许堡垒机登录主机SSH" >> /etc/hosts.allowecho "sshd:192.168.31.5" >> /etc/hosts.allow

文章插图

(图片可点击放大查看)


文章插图

(图片可点击放大查看)
针对所有堡垒机托管的Linux服务器均做主机层面SSH访问控制 通过堡垒机访问Server_A 192.168.31.18，再在Server_A 192.168.31.18上SSH到Server_B 192.168.31.232就会被阻断


文章插图

(图片可点击放大查看)
可以tail -f /var/log/tcpwrapper.log 查看阻断日志
tail -f /var/log/tcpwrapper.log Sat Nov 20 22:07:09 CST 2021 login attempt from 192.168.31.18 to sshd@192.168.31.232 ,the host is 192.168.31.18 .PID is 39888当然如何堡垒机万一发生故障时，就会出现单点故障，如何预防：
1、如果有备用堡垒机，需要将备用堡垒机的IP加到SSH访问白名单中
2、将应急运维PC的IP加到SSH访问白名单中，可以堡垒机出现故障时，应急运维PC登录到服务器上进行SSH访问控制配置修改
那RDP如何进行控制呢？可以在Windows防火墙的作用域中指定远程IP地址及IP地址段，不过前提是开启了Windows防火墙


文章插图

(图片可点击放大查看)
可以看到当设置了只能堡垒机RDP远程到Server_D 192.168.31.116 在Server_C 192.168.31.82上就无法mstsc远程到Server_D 192.168.31.116
telnet 192.168.31.116 3389端口不通


文章插图

(图片可点击放大查看)
1、目标服务器远程端口受到ACL限制，但其他端口没有限制，那么最简单的解决方式就可以通过端口转发来绕过
2、甚至如果服务器可以访问外网，可以直接通过向日葵，todesk，Teamviewer进行远程，这样就完全绕开了堡垒机审计
需要对服务器网段封禁向日葵 Teamviewer等远程工具， 这种方式就详细展开描述了

• 电脑主机电源维修 计算机电源维修技术
• 电脑主机声音特别大 录音时电脑机箱声音大
• 电脑主机声音大是怎么回事 电脑主机声音大是什么原因
• 最后的堡垒任务 最后的堡垒任务在哪
• 免费虚拟主机管理系统php php虚拟主机作用
• 电脑一般放在什么位置风水好 电脑主机风水放哪边
• 没有主机怎么插u盘 u盘插电脑没有磁盘
• 守望先锋堡垒联赛皮肤 守望先锋联赛皮肤返场
• 戴尔主机进u盘启动 戴尔主机进入u盘启动
• 电脑主机一阵一阵的嗡嗡响 电脑主机很响怎么回事