ricariel/bastion Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
ricariel/bastionricariel
用于堡垒机的小型SSH镜像
下载次数: 0状态:社区镜像维护者:ricariel仓库类型:镜像最近更新:3 天前
SSH堡垒机容器镜像
镜像概述
本容器镜像为一款用于堡垒机场景的小型SSH服务器镜像,提供通过SSH协议代理客户端连接至其他SSH服务器的功能。适用于高安全环境中,因防火墙、路由策略或网络地址限制导致客户端无法直接访问目标服务器时,作为中间代理节点(堡垒机)使用。
核心功能与特性
- 代理访问控制:仅支持代理客户端连接至其他SSH主机,不提供直接访问目标服务器的其他协议支持。
- 安全认证机制:仅支持SSH公钥认证,禁用密码认证,提升访问安全性。
- SSH守护进程强化:
- 禁用交互式shell与TTY分配,限制操作权限;
- 严格限制用户范围,仅允许预设的单用户(
bastion)登录; - 应用更严格的SSH服务配置规则,降低***面。
- 单用户管理:固定使用
bastion用户作为唯一登录主体,简化权限管理。 - Docker安全集成:利用Docker容器隔离特性,进一步增强运行环境安全性。
使用场景与适用范围
- 高安全网络环境:当目标SSH服务器因防火墙策略、网络分区或路由限制无法被客户端直接访问时,作为中转堡垒机使用。
- 集中访问控制:需对多台目标服务器的SSH访问进行统一代理和审计的场景。
- 最小权限原则实践:通过禁用shell、限制操作范围,实现对堡垒机自身的最小权限控制,降低被滥用风险。
使用方法与配置说明
前提条件
- 客户端需生成SSH密钥对(公钥用于配置堡垒机,私钥由客户端持有)。
- 需构建自定义镜像(原镜像不直接使用,需生成唯一SSH主机密钥并添加客户端公钥)。
步骤1:构建自定义镜像
1.1 准备文件
- 公钥文件:创建
authorized_keys文件,包含允许登录堡垒机的客户端公钥(每行一个公钥)。 - Dockerfile:基于原镜像构建,生成唯一SSH主机密钥并添加公钥。
示例 Dockerfile:
dockerfileFROM [原镜像名称] # 替换为实际镜像名称 # 生成唯一SSH主机密钥(避免使用默认密钥,提升安全性) RUN ssh-keygen -A # 添加客户端公钥至bastion用户的authorized_keys COPY authorized_keys /home/bastion/.ssh/authorized_keys # 修复权限(确保sshd可读取公钥文件) RUN chown -R bastion:bastion /home/bastion/.ssh && chmod 600 /home/bastion/.ssh/authorized_keys
步骤2:运行容器
使用 docker run 启动容器,映射SSH端口(如宿主机2200端口映射至容器22端口),并确保容器网络可被客户端访问。
示例命令:
bashdocker run -d \ --name ssh-bastion \ -p 2200:22 \ # 宿主机端口:容器SSH端口(容器内固定为22) --restart unless-stopped \ [自定义镜像名称] # 替换为步骤1构建的镜像名称
步骤3:客户端连接配置
3.1 直接连接命令
通过堡垒机代理连接目标服务器的命令格式:
bashssh -A -o ProxyCommand='ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP>' <目标服务器用户>@<目标服务器主机名>
-A:启用SSH代理转发(可选,如需通过堡垒机进一步代理至其他服务器);2200:宿主机映射的堡垒机SSH端口;<堡垒机主机名或IP>:运行容器的宿主机地址;<目标服务器用户>@<目标服务器主机名>:实际需访问的目标SSH服务器信息。
3.2 配置SSH客户端简化命令
通过修改客户端 ~/.ssh/config 文件,添加代理规则以简化连接命令。
示例配置(~/.ssh/config 片段):
ssh# 单个目标服务器配置 Host target-server HostName <目标服务器主机名> User <目标服务器用户> ProxyCommand ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP> # 批量域名代理(如对.example.com域名下所有服务器使用堡垒机) Host *.example.com ProxyCommand ssh -W %h:%p -p 2200 bastion@<堡垒机主机名或IP>
配置后,直接通过 ssh target-server 即可连接目标服务器(自动通过堡垒机代理)。
注意事项
- 功能限制:仅支持代理至SSH协议主机,不支持其他协议(如HTTP、RDP)。
- 认证限制:仅接受SSH公钥认证,需确保客户端公钥已正确添加至
bastion用户的authorized_keys。 - 操作限制:
bastion用户无交互式shell与TTY,无法在堡垒机内执行命令,仅用于代理转发。 - 安全强化:运行容器时建议启用Docker安全选项(如
--read-only、--cap-drop=ALL),进一步限制容器权限。
cloudposse/bastion
cloudposse
暂无描述
2 次收藏50万+ 次下载
1 个月前更新
djlactose/bastion
djlactose
这是一个独立的堡垒机,旨在允许对网络进行安全的远程访问。
5万+ 次下载
11 天前更新
dblworks/bastion
dblworks
Bastion是一个轻量级堡垒主机Docker镜像,提供安全访问Kubernetes集群的解决方案,支持SSH密钥、WebAuthn/FIDO2和TOTP多因素认证,集成kubectl和helm等工具,提供临时凭证管理和审计日志功能。
1 次收藏5万+ 次下载
1 年前更新
neochrome/bastion
neochrome
一个简单的SSH堡垒机,使用公钥和Google Authenticator进行身份验证,确保连接安全。
1万+ 次下载
10 天前更新
gnzsnz/bastion
gnzsnz
Docker化的SSH堡垒机(跳板机),具有强化的默认配置,用于安全访问私有网络服务,支持MFA、SSH证书机构及多种网络工具。
1万+ 次下载
1 个月前更新
aivetech/bastion
aivetech
暂无描述
1万+ 次下载
16 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"