文档首页/ 云堡垒机 CBH/ 用户指南/ 运维管理/ 主机运维/ 通过SSH客户端登录资源进行运维
更新时间:2024-09-24 GMT+08:00
查看PDF
分享

通过SSH客户端登录资源进行运维

通过SSH客户端登录堡垒机纳管资源,在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。

本小节以Xshell登录SSH协议类型资源为例,介绍如何通过SSH客户端登录资源进行运维,以及如何下载登录资源的配置文件。

约束限制

  • 仅SSH、TELNET和Rlogin协议主机支持通过SSH客户端登录,其中Rlogin协议主机仅支持SSH客户端登录。
  • 支持SSH协议客户端工具:SecureCRT 8.0及以上版本、Xshell 5及以上版本、PuTTY、MAC Terminal 2.0及以上版本。
  • 不同算法类型不同场景支持的服务器情况如下:
    表1 SSH运维支持服务器情况

    算法类型

    H5页面运维

    SSH客户端运维

    Key exchange
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group-exchange-sha1
    • diffie-hellman-group14-sha1
    • diffie-hellman-group1-sha1
    • ecdh-sha2-nistp256
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp521
    • curve25519-sha256
    • curve25519-sha256@libssh.org
    • diffie-hellman-group14-sha256
    • diffie-hellman-group-exchange-sha256
    • diffie-hellman-group-exchange-sha1
    • diffie-hellman-group14-sha1
    • diffie-hellman-group1-sha1
    • ecdh-sha2-nistp521
    • ecdh-sha2-nistp384
    • ecdh-sha2-nistp256

    Encryption
    • aes128-ctr
    • aes192-ctr
    • aes256-ctr
    • aes128-cbc
    • aes192-cbc
    • aes256-cbc
    • 3des-cbc
    • blowfish-cbc
    • arcfour128
    • arcfour
    • cast128-cbc
    • 3des-cbc
    • rijndael-cbc@lysator.liu.se
    • aes128-ctr
    • aes192-ctr
    • aes256-ctr
    • aes128-cbc
    • aes192-cbc
    • aes256-cbc
    • 3des-cbc
    • blowfish-cbc
    • arcfour128
    • arcfour256

    HMAC
    • hmac-md5
    • hmac-md5-96
    • hmac-sha1
    • hmac-sha1-96
    • hmac-sha2-256
    • hmac-sha2-512
    • hmac-ripemd160
    • hmac-ripemd160@openssh.com
    • hmac-md5
    • hmac-md5-96
    • hmac-sha1
    • hmac-sha1-96
    • hmac-sha2-256
    • hmac-sha2-512

    Host Key
    • ssh-rsa
    • ssh-dss
    • ecdsa-sha2-nistp256
    • ecdsa-sha2-nistp384
    • ecdsa-sha2-nistp521
    • ssh-ed25519
    • ssh-rsa
    • ssh-dss
    • rsa-sha2-256
    • rsa-sha2-512
    • ecdsa-sha2-nistp256
    • ecdsa-sha2-nistp384
    • ecdsa-sha2-nistp521

前提条件

  • 已获取“主机运维”模块管理权限。
  • 已获取资源访问控制权限,即已被关联访问控制策略或访问授权工单已审批通过。
  • 已在本地安装客户端工具。
  • 资源主机网络连接正常,且资源账户登录账号和密码无误。

操作步骤

  1. 打开本地Xshell客户端工具,选择文件 > 新建,新建用户会话。
  2. 配置会话用户连接。

    • 方式一
      1. 选择协议类型SSH,输入堡垒机实例弹性IP地址,端口号配置为2222,单击“确认”
        图1 配置会话属性
      2. 连接到会话,输入堡垒机用户名,单击“连接”
        图2 连接会话
    • 方式二

      在新的空白会话窗口,执行登录命令:协议类型 用户登录名@系统登录IP地址 端口,例如执行ssh admin@10.10.10.10 2222

    • 方式三

      在正在运行的Linux主机会话窗口,执行登录命令:协议类型 用户登录名@系统登录IP地址 -p 端口,例如执行ssh admin@10.10.10.10 -p 2222

    系统登录IP地址指堡垒机的IP地址(私有IP地址或弹性IP地址),且本地PC与该IP地址的网络连接正常。

  3. 堡垒机用户身份验证。

    • 选择密码登录,输入堡垒机用户密码,单击“确定”
    • 选择公钥登录,在“浏览”中选择用户密钥,输入密码,单击“确定”

      登录验证成功后,再次登录时该用户在SSH客户端可以免密登录。

    图3 堡垒机用户身份验证

  4. 登录到堡垒机系统。

    SSH客户端登录认证支持密码登录、手机短信、手机令牌和动态令牌方式。其中手机短信、手机令牌和动态令牌方式,需配置用户多因子认证,详情请参考用户登录配置

    • 手机短信:本地密码方式登录后,选择“短信验证码”,输入手机短信验证码。
    • 手机令牌:本地密码方式登录后,选择“手机令牌OTP”,输入手机令牌验证码。
    • 动态令牌:本地密码方式登录后,选择“动态令牌OTP”,输入动态令牌验证码。

  5. 批量导入堡垒机资源账户。

    解压配置文件压缩包(文件压缩包下载方式请参考下载登录配置),打开“readme.txt”文件,并参考指导导入资源账户。

  6. 登录资源账户。

    选择需登录的资源账户,输入系统用户密码,登录资源账户进行运维操作。

    图4 登录到堡垒机资源账户

下载登录配置

为在SSH客户端批量导入运维资源,用户需下载资源配置文件。

  1. 通过Web浏览器登录堡垒机系统。
  2. 选择运维 > 主机运维,进入主机运维列表页面。
  3. 单击“登录配置下载”,弹出配置下载窗口。
  4. 勾选相应客户端的配置文件,单击“确定”下载配置文件到本地。
父主题: 主机运维