热门搜索:
ricariel/bastion
ricariel
用于堡垒机的小型SSH镜像
下载次数: 0状态:社区镜像维护者:ricariel仓库类型:镜像最近更新:22 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
SSH堡垒机容器镜像
镜像概述
本容器镜像为一款用于堡垒机场景的小型SSH服务器镜像,提供通过SSH协议代理客户端连接至其他SSH服务器的功能。适用于高安全环境中,因防火墙、路由策略或网络地址限制导致客户端无法直接访问目标服务器时,作为中间代理节点(堡垒机)使用。
核心功能与特性
- 代理访问控制:仅支持代理客户端连接至其他SSH主机,不提供直接访问目标服务器的其他协议支持。
- 安全认证机制:仅支持SSH公钥认证,禁用密码认证,提升访问安全性。
- SSH守护进程强化:
- 禁用交互式shell与TTY分配,限制操作权限;
- 严格限制用户范围,仅允许预设的单用户(
bastion)登录; - 应用更严格的SSH服务配置规则,降低***面。
- 单用户管理:固定使用
bastion用户作为唯一登录主体,简化权限管理。 - Docker安全集成:利用Docker容器隔离特性,进一步增强运行环境安全性。
使用场景与适用范围
- 高安全网络环境:当目标SSH服务器因防火墙策略、网络分区或路由限制无法被客户端直接访问时,作为中转堡垒机使用。
- 集中访问控制:需对多台目标服务器的SSH访问进行统一代理和审计的场景。
- 最小权限原则实践:通过禁用shell、限制操作范围,实现对堡垒机自身的最小权限控制,降低被滥用风险。
使用方法与配置说明
前提条件
- 客户端需生成SSH密钥对(公钥用于配置堡垒机,私钥由客户端持有)。
- 需构建自定义镜像(原镜像不直接使用,需生成唯一SSH主机密钥并添加客户端公钥)。
步骤1:构建自定义镜像
1.1 准备文件
- 公钥文件:创建
authorized_keys文件,包含允许登录堡垒机的客户端公钥(每行一个公钥)。 - Dockerfile:基于原镜像构建,生成唯一SSH主机密钥并添加公钥。
示例 Dockerfile:
dockerfileFROM [原镜像名称] # 替换为实际镜像名称 # 生成唯一SSH主机密钥(避免使用默认密钥,提升安全性) RUN ssh-keygen -A # 添加客户端公钥至bastion用户的authorized_keys COPY authorized_keys /home/bastion/.ssh/authorized_keys # 修复权限(确保sshd可读取公钥文件) RUN chown -R bastion:bastion /home/bastion/.ssh && chmod 600 /home/bastion/.ssh/authorized_keys
步骤2:运行容器
使用 docker run 启动容器,映射SSH端口(如宿主机2200端口映射至容器22端口),并确保容器网络可被客户端访问。
示例命令:
bashdocker run -d \ --name ssh-bastion \ -p 2200:22 \ # 宿主机端口:容器SSH端口(容器内固定为22) --restart unless-stopped \ [自定义镜像名称] # 替换为步骤1构建的镜像名称
步骤3:客户端连接配置
3.1 直接连接命令
通过堡垒机代理连接目标服务器的命令格式:
bashssh -A -o ProxyCommand='ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP>' <目标服务器用户>@<目标服务器主机名>
-A:启用SSH代理转发(可选,如需通过堡垒机进一步代理至其他服务器);2200:宿主机映射的堡垒机SSH端口;<堡垒机主机名或IP>:运行容器的宿主机地址;<目标服务器用户>@<目标服务器主机名>:实际需访问的目标SSH服务器信息。
3.2 配置SSH客户端简化命令
通过修改客户端 ~/.ssh/config 文件,添加代理规则以简化连接命令。
示例配置(~/.ssh/config 片段):
ssh# 单个目标服务器配置 Host target-server HostName <目标服务器主机名> User <目标服务器用户> ProxyCommand ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP> # 批量域名代理(如对.example.com域名下所有服务器使用堡垒机) Host *.example.com ProxyCommand ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP>
配置后,直接通过 ssh target-server 即可连接目标服务器(自动通过堡垒机代理)。
注意事项
- 功能限制:仅支持代理至SSH协议主机,不支持其他协议(如HTTP、RDP)。
- 认证限制:仅接受SSH公钥认证,需确保客户端公钥已正确添加至
bastion用户的authorized_keys。 - 操作限制:
bastion用户无交互式shell与TTY,无法在堡垒机内执行命令,仅用于代理转发。 - 安全强化:运行容器时建议启用Docker安全选项(如
--read-only、--cap-drop=ALL),进一步限制容器权限。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull ricariel/bastion:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"