最近更新时间:2021-08-26
用户如果需要快速访问允许通过SSH或者Telnet访问的资产,可以使用SSH登录堡垒机系统的交互终端。
通过SSH客户端登录堡垒机系统后仅能查看并访问当前用户可通过SSH/Telnet访问的资产,即类Unix资产。
请参考“表1 身份认证方式”准备登录所需的密码。
通过SSH客户端登录堡垒机系统的环境要求请参考下表。
项目 | 要求 |
操作系统 | Windows XP SP3及以上版本。 |
SSH客户端 | 已安装了以下客户端软件之一: ○ Xshell4.0及以上 ○ Putty0.58及以上 |
通过堡垒机系统的SSH交互终端访问资产有三种方式:
登录到堡垒机系统后查找并访问资产:先通过SSH客户端登录堡垒机系统,在堡垒机系统找到待访问的资产后再建立字符会话进行访问。
直接访问资产:穿透访问,即直接建立到待访问资产的字符会话。必须提前知道待访问资产的IP地址和登录账号,且堡垒机系统上必须已托管了相应资产账号的密码。用户也可以通过该方法将连接保存到本地,从而快速访问。
通过SSH远程执行命令:一般用于脚本中,仅执行单条命令,执行完后断开连接。
如登录账号被管理员在堡垒机系统上设置了下次登录时必须修改密码,请先通过Web界面登录并重设密码;如使用手机令牌登录但未绑定令牌,请先完成绑定手机令牌,然后再登录SSH交互终端,否则将登录失败。
本节以Putty为例,指导完成登录堡垒机系统。
打开Putty工具。
在Putty Configuration菜单中,左侧导航选择Session,设置以下参数。
Host Name:主机名,堡垒机系统的IP或者域名。
Port:端口号,22。
Connection Type:连接方式,选择SSH。
(可选)在左侧导航选择“Window > Translation”,设置终端的编码格式,和堡垒机系统保持一致。
堡垒机系统交互终端编码类型默认为GB18030,如被管理员修改,请询问管理员。如编码类型不一致,登录后会显示为乱码。
说明:Putty默认的编码类型中没有GB18030,设置为Use font encoding即可。
(可选)如使用密钥登录,设置用于登录的密钥。
说明:登录前需要先完成配置密钥。对于Putty,只支持ppk格式的密钥,需要使用puttygen工具将用户的私钥转换为ppk格式。
在左侧导航选择“Connection > SSH > Auth”,单击“Browse”,设置用于登录的ppk密钥。
设置完成后,单击下方的“Open”,打开连接。
通过SSH客户端登录堡垒机系统后,可以执行以下常用操作:
使用场景 | 输入 | 说明 |
最外层资产分类列表菜单 | q | 退出登录堡垒机系统 |
l | 切换语言(从中文到英文,或从英文到中文) | |
r | 重新加载数据 | |
/设备IP、名称或说明 | 过滤设备 | |
目标资产列表菜单 | i | 按IP排序 |
a | 按设备名称排序 | |
/设备IP、名称或说明 | 过滤设备 | |
任意子菜单 | 直接按回车键 | 返回上一级菜单 |
断开到设备的会话后 | 直接按回车键 | 回到资产分类列表菜单 |
r | 重新连接到已断开的会话 | |
q | 退出登录堡垒机系统 |
根据提示输入待访问资产所在的资产分类编号,并按回车键确定。
资产分类列表 |
说明:资产分类会根据字符会话配置中的直连分类方式进行展示。上图中是按资产组进行分类。如果不存在可用分类,连接后将直接进入未分类资产列表中;如只存在一个可用分类,连接后将直接进入该分类。
根据提示输入待访问的资产的序号、IP地址或名称,并按回车键确定。
已选择:资产组1 |
根据列出的登录账号列表,输入访问资产要使用的账号的序号或完整账号名称(含协议名称),并按回车键确定。建立字符会话。
已选择:资产组1 > CentOS7(10.10.33.30) |
回显文字说明如下。
账号列表说明如下:
self:同用户账号。使用和当前登录堡垒机系统的账号同名的账号登录资产,请操作员自行确保该账号在待访问资产上存在。
any:登录时提供。堡垒机系统仅连接到资产的登录界面,不自动输入账号名称和密码,由访问者手动填写。
堡垒机系统上已添加的资产账号名称,例如root,堡垒机系统使用该账号登录到资产设备。
*表示该账号的密码已在堡垒机系统上托管,将无需输入密码直接登录。
当选择的账号为self时,如用户使用AD/LDAP/RADIUS其中之一认证或双因子认证中包含AD/LDAP/RADIUS之一,则使用对应的AD/LDAP/RADIUS用户名同名的账号登录资产;如用户使用AD/LDAP+RADIUS双因子认证,则使用第一重认证所使用的AD/LDAP/RADIUS用户名同名账号。
如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。备注是一个1~100长度的字符串。
Connecting to root@CentOS7(10.10.33.30) ... |
该会话如匹配对应的高危操作规则,将受到高危操作规则的影响,需要进行复核。
该方式即穿透访问,直接通过堡垒机系统连接到目标资产。
打开SSH客户端工具。
本节以Putty为例指导完成访问资产。
在Putty Configuration菜单中,左侧导航选择Session,设置以下参数。
Host Name:主机名,堡垒机系统的IP或者域名。
Port:端口号,22。
Connection Type:连接方式,选择SSH。
单击Open连接后,输入以下用户名和密码,直接连接到资产。
参数 | 说明 |
用户名 | 堡垒机系统的用户名/目标资产的地址/访问目标资产的账号 |
密码 | 用户在堡垒机系统中的密码。 说明:如已配置了密钥,将无需输入密码,直接连接到资产。 |
说明:
当使用IPv6地址时,部分客户端支持IPv6地址加中括号,但几乎所有客户端都支持地址不加中括号,因此建议堡垒机系统地址和目标资产地址全都不加中括号,例如ssh opt/fc00::1010:32::30/root@fc00::1010:32::1。另外,当目标资产地址为IPv6时,无法在Windows环境下Xshell的命令行中使用ssh命令直连访问。
如管理员设置了启动会话时必填或可填备注,请输入备注后按回车。
需要满足以下前提条件:
必须使用OpenSSH客户端。
目标资产已在堡垒机系统上托管了账号和密码。
OpenSSH客户端的SSH命令,支持在待访问的地址之后添加command参数,填写待在目标资产上执行的命令,执行完命令后断开连接。一般用于在脚本中连接资产并远程执行命令。
通过该方式执行的命令,不会受到会话复核的限制,无需被复核即可执行。但如配置了命令复核,只要规则中执行的动作不为允许,该命令的执行的都将被拒绝。
本节以在OpenSSH客户端的Shell中执行命令为例,实际使用中可以将该命令写到脚本中。
打开OpenSSH客户端的Shell菜单。
执行以下命令:
ssh 堡垒机系统的用户名/目标资产的地址/访问目标资产的账号@堡垒机系统的地址命令内容 |
例如:
ssh opt/10.10.33.30/root@10.10.33.23 pwd |
在收到密码提示后,输入堡垒机系统的密码。
命令执行成功后,将显示命令的回显。
[root@localhost ~]# ssh opt/10.10.33.30/root@10.10.33.23 pwd |
说明:
资产的密码将由堡垒机系统自动代填,如未托管密码,命令执行将失败。
如需执行多条命令,可以使用;、&、|等符号进行分割。
命令如需要在脚本中执行,建议配置密钥,使执行过程中不需要进行密码交互。
