此文编号:HB181
前面有写一篇关于账号管理的文章Linux服务器账号管理策略,里面就有写到lshell这个工具。

现在写一下怎么利用lshell把一台Linux系统变成一台堡垒机(跳转机)。

堡垒机要实现的功能:
多用户权限管理
限制登录用户所处的目录
限制登录用户能使用的命令
记录登录用户执行的命令

要限制用户登录到堡垒机后只能使用ssh和passwd两个命令,根据实际情况可以开放其它命令。
ssh要远程到要实际登录的服务器上。
passwd修改自己用户的密码。
转载本站文章请注明出处:黄海兵haibing.org

一、部署步骤
1.1、安装系统
安装一个最简系统纯文本系统,多余的东西都不要安装,后面需要什么再安装什么。
安装完,还可以禁用或删除各种不需要的服务、文件。
开防火墙
开SELinux

1.2、分配账号

根据不同的岗位创建不同用户组、不同的用户,每个人一个账号。
创建三个用户组:
admin:运维人员
dba:数据库人员
web:开发
#groupadd admin
#groupadd dba
#groupadd web

再把用户分别分配到三个用户组中:
#useradd admin1 -g admin
#useradd admin2 -g admin
#useradd admin2 -g admin

1.3、安装lshell工具
gif主页:https://github.com/ghantoos/lshell

如果堡垒机没有联网,可以从别的地方下载安装文件,再复制过来。

git clone https://github.com/ghantoos/lshell.git
cd lshell
python setup.py install –no-compile –install-scripts=/usr/bin/

如果没报错,即安装成功。
转载本站文章请注明出处:黄海兵haibing.org

1.4、改变用户默认shell,使用lshell作为默认shell:
只有改变默认shell,才能使lshell生效。
# cp /etc/lshell.conf /usr/local/etc/
# chsh -s /usr/bin/lshell user_name 这个命令只能修改某个用户的,可以写个脚本来批量修改
转载本站文章请注明出处:黄海兵haibing.org

1.5、开启日志
为了记录用户日志,需要创建相关目录
# addgroup –system lshell
# mkdir /var/log/lshell
# chown :lshell /var/log/lshell
# chmod 770 /var/log/lshell

然后增加用户到lshell group:
# usermod -aG lshell user_name

1.6、配置conf

发表评论