一、什么是跳板机？

跳板机(Bastion Host)又称堡垒机，是一种特殊的网络设备，用于控制和监控内部网络与外部网络之间的访问。它就像是网络世界中的"安检门"，所有对内部网络的访问都必须通过这个安全检查点。

二、为什么需要跳板机？

• 安全审计：记录所有通过跳板机的操作
• 访问控制：集中管理服务器访问权限
• 风险隔离：减少直接暴露内部服务器的风险
• 操作便利：提供统一的运维入口

三、搭建前的准备工作

1. 购买一台Linux云服务器（推荐CentOS或Ubuntu）
2. 确定网络架构和访问策略
3. 准备SSH密钥对
4. 确保网络连通性

四、详细搭建步骤

1. 基础环境配置

# 更新系统
sudo apt update && sudo apt upgrade -y  # Ubuntu
sudo yum update -y                      # CentOS

# 创建专用用户
sudo useradd -m -s /bin/bash jumper
sudo passwd jumper

2. SSH安全配置

编辑/etc/ssh/sshd_config文件：

Port 2222                   # 修改默认端口
PermitRootLogin no         # 禁止root登录
PasswordAuthentication no  # 禁用密码登录
AllowUsers jumper          # 只允许特定用户

重启SSH服务：sudo systemctl restart sshd

3. 安装必要的安全工具

# Fail2ban防暴力破解
sudo apt install fail2ban -y  # Ubuntu
sudo yum install fail2ban -y  # CentOS

# 配置iptables防火墙规则
sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
sudo iptables-save > /etc/sysconfig/iptables

4. 配置审计日志

编辑/etc/profile文件添加：

# 记录用户操作历史
export HISTTIMEFORMAT="%F %T "
export PROMPT_COMMAND='history -a'

五、高级配置选项

1. 多因素认证(MFA)

安装Google Authenticator：

sudo apt install libpam-google-authenticator -y  # Ubuntu
sudo yum install google-authenticator -y        # CentOS

2. 使用SSH跳转

配置~/.ssh/config文件：

Host internal-server
    HostName 192.168.1.100
    ProxyCommand ssh jumper@跳板机IP -p 2222 -W %h:%p
    IdentityFile ~/.ssh/internal_key

六、日常维护建议

• 定期检查系统日志和安全警报
• 及时更新系统和安全补丁
• 定期审计用户权限
• 备份重要配置

七、常见问题解决

Q: 连接跳板机时出现"Permission denied"错误？
A: 检查以下几点：
1. 确认使用的SSH密钥正确
2. 验证用户是否在AllowUsers列表中
3. 检查防火墙设置

Q: 如何限制用户在跳板机上的权限？
A: 可以使用Linux的chroot功能或配置受限shell(rbash)