热门搜索:
moul/sshportal
自动构建
moul
无需跳转的跳板主机/跳板服务器,也称为透明SSH堡垒机,提供用户与主机独立管理、便捷邀请系统、多级别访问控制等功能,易于安装、运行和配置。
6 次收藏下载次数: 0状态:自动构建维护者:moul仓库类型:镜像最近更新:2 年前
sshportal
透明SSH堡垒机(无需传统跳转的跳板主机/服务器)
!https://raw.githubusercontent.com/moul/sshportal/master/.assets/flow-diagram.png
镜像概述和主要用途
sshportal 是一款透明SSH堡垒机,旨在提供安全、便捷的服务器访问管理方案。它消除了传统跳板机的复杂性,实现用户与主机的独立管理,支持便捷的用户邀请系统、多级别访问控制等功能,适用于企业服务器访问管理、教育环境临时访问分配、安全审计等场景。
核心功能和特性
核心功能
- 独立二进制文件:约10-20Mb,无运行时依赖(内置SSH服务器和客户端)
- 跨平台支持:可在Linux和OSX/darwin等系统运行
- 数据库支持:使用Sqlite3或MySQL存储数据(通过gorm可扩展支持PostgreSQL、MSSQL等)
- 无状态设计:使用MySQL作为后端时支持水平扩展
- 灵活认证:支持密钥或密码连接远程主机
- 管理功能:主机管理、用户管理(邀请、分组、统计)、密钥管理(创建、删除、更新、导入)
- 安全审计:会话记录(TTY会话以ttyrec格式记录,支持回放)、隧道日志、操作审计日志
- 访问控制:ACL管理(结合用户组和主机组)、用户角色(管理员、可信用户、标准用户等)
- SSH兼容性:支持scp、rsync、隧道(本地/远程/动态转发)、sftp、ssh-agent、X11转发、Git等
已知限制
- 暂不支持mosh
- 用户名不能与主机名相同
- 不能访问名为"healthcheck"的主机(内置命令保留名)
使用场景和适用范围
- 教育场景:教师为学生提供临时服务器访问,动态配置主机和用户
- 企业管理:大型团队(如vente-privee.com技术团队)管理服务器/路由器访问,减少配置管理时间
- 安全审计:记录所有会话操作,满足合规性要求(如托管公司用于详细审计跟踪)
- 临时访问分配:黑客松、课程等活动中快速创建多个账户,分发访问凭证
详细使用方法和配置说明
Docker部署(推荐)
启动服务器
console# 后台启动服务器,挂载当前目录以持久化sqlite数据库 docker run -p 2222:2222 -d --name=sshportal -v "$(pwd):$(pwd)" -w "$(pwd)" moul/sshportal:v1.10.0 # 查看日志获取管理员邀请令牌(首次运行必需) docker logs -f sshportal
升级方法
sh# 停止并备份当前容器和数据库 docker stop sshportal docker rename sshportal sshportal_old cp sshportal.db sshportal.db.bkp # 启动新版本 docker run -p 2222:2222 -d --name=sshportal -v "$(pwd):$(pwd)" -w "$(pwd)" moul/sshportal:v1.10.0 # 检查日志确认迁移是否成功 docker logs -f sshportal
回滚方法
shdocker stop sshportal docker rm sshportal cp sshportal.db.bkp sshportal.db docker rename sshportal_old sshportal docker start sshportal docker logs -f sshportal
基本使用流程
1. 关联管理员SSH密钥
首次启动后,从日志获取邀请令牌(如invite:BpLnfgDsc2WD8F2q),执行:
consolessh localhost -p 2222 -l invite:BpLnfgDsc2WD8F2q
2. 进入管理员交互shell
consolessh localhost -p 2222 -l admin
3. 创建主机
consoleconfig> host create bart@foo.example.org 1
4. 列出主机
consoleconfig> host ls ID | NAME | URL | KEY | PASS | GROUPS | COMMENT +----+------+-------------------------+---------+------+---------+---------+ 1 | foo | bart@foo.example.org:22 | default | | default | Total: 1 hosts.
5. 在目标服务器上配置密钥
consolessh bart@foo.example.org "$(ssh localhost -p 2222 -l admin key setup default)"
6. 连接目标主机
consolessh localhost -p 2222 -l foo bart@foo>
7. 邀请用户
consoleconfig> user invite bob@example.com User 2 created. To associate this account with a key, use the following SSH user: 'invite:NfHK5a84jjJkwzDk'.
备份与恢复
内置备份/恢复
sh# 备份 ssh portal config backup > sshportal.bkp # 恢复 ssh portal config restore < sshportal.bkp
额外备份方法
sh# SQLite数据库备份 sqlite3 sshportal.db .dump > sshportal.sql.bkp # 直接复制数据库文件 cp sshportal.db sshportal.db.bkp
健康检查
通过SSH检查
consolessh healthcheck@sshportal OK
通过内置工具检查
console# 检查状态 sshportal healthcheck --addr=localhost:2222; echo $? 0 # 等待健康后连接 sshportal healthcheck --wait && ssh sshportal -l admin
配置.ssh/config别名
编辑~/.ssh/config:
iniHost portal User admin Port 2222 # 堡垒机端口 HostName 127.0.0.1 # 堡垒机主机名
使用别名连接:
bash# 进入管理员shell ssh portal # 连接主机 ssh hostname@portal
扩展与集群
使用MySQL作为后端实现水平扩展:
consolesshportal --db-conn=user:pass@host/dbname?parseTime=true --db-driver=mysql
内置Shell命令
提供丰富的管理命令,包括ACL、主机、用户、密钥、会话等管理,例如:
host create:创建主机user invite:邀请用户acl create:创建访问控制规则session ls:列出会话config backup:备份配置
完整命令列表可通过help命令查看。
演示数据
可使用以下公开服务器测试:
consolessh portal host create *** ssh sdf@portal ssh portal host create *** ssh whoami@portal ssh portal host create *** ssh chat@portal
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull moul/sshportal:<标签>
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"