搭建简易的堡垒机(192.168.0.11):
wget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.bz2
tar jxvf jailkit-2.19.tar.bz2
cd jailkit-2.19
./configure && make && make install
mkdir /home/jail
cd /root/
jk_init -v -j /home/jail/ basicshell
jk_init -v -j /home/jail/ editors
jk_init -v -j /home/jail/ netutils
jk_init -v -j /home/jail/ ssh
mkdir /home/jail/usr/sbin
cp /usr/sbin/jk_lsh /home/jail/usr/sbin/jk_lsh
useradd zhangsan
passwd zhangsan
jk_jailuser -m -j /home/jail zhangsan
vim /home/jail/etc/passwd //把zhangsan那一行的/usr/sbin/jk_lsh改为/bin/bash
再创建一个用户:
useradd lisi
passwd lisi
jk_jailuser -m -j /home/jail lisi
vim /home/jail/etc/passwd //把zhangsan那一行的/usr/sbin/jk_lsh改为/bin/bash
[root@centos7 ~]# cat /etc/hosts.deny
#
sshd: ALL
[root@centos7 ~]#
[root@centos7 ~]# cat /etc/hosts.allow
#
sshd: 192.168.0.1
[root@centos7 ~]#
在客户机上操作限制如下:
1,客户机设置不能登陆,只能由跳板机登陆。
[root@centos7 ~]# cat /etc/hosts.allow
#
sshd: 192.168.0.11
[root@centos7 ~]#
[root@centos7 ~]# cat /etc/hosts.deny
#
sshd: ALL#
[root@centos7 ~]#
2,客户机设置记录日志
mkdir /usr/local/records
chmod 777 !$
chmod +t !$
vi /etc/profile //添加
if [ ! -d /usr/local/records/${LOGNAME} ]
then
mkdir -p /usr/local/records/${LOGNAME}
chmod 300 /usr/local/records/${LOGNAME}
fi
export HISTORY_FILE="/usr/local/records/${LOGNAME}/bash_history"
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
注意:客户机的操作日志在/usr/local/records/ 下
在堡垒机创建了什么用户,在客户机最好创建同名的用户给用户。
浙公网安备 33010602011771号