岁月无声

笔记分享

docker 安装Next Terminal堡垒机

平时需要软件厂家技术支持时一直使用向日葵、Todesk等远程工具到服务器操作，但是这些工具在多台服务器和需要多个厂家维护的时候很不方便，没有权限分配和审计日志功能。

在网上找到Next Terminal这个工具，免费开源，支持RDP、SSH等协议，可以直接通过浏览器访问，无需再安装软件，而且支持审计，记录登录操作日志。

docker安装

在任意位置创建文件夹 next-terminal ，然后在此文件夹下创建 docker-compose.yml


xxxxxxxxxx
3
1
mkdir next-terminal
2
cd next-terminal
3
touch docker-compose.yml

写入如下内容：


xxxxxxxxxx
25
1
version: '3.3'
2
services:
3
  guacd:
4
    image: dushixiang/guacd:latest
5
    volumes:
6
      - ./data:/usr/local/next-terminal/data
7
    restart:
8
          always
9
  next-terminal:
10
    image: dushixiang/next-terminal:latest
11
    environment:
12
      DB: sqlite
13
      GUACD_HOSTNAME: guacd
14
      GUACD_PORT: 4822
15
    ports:
16
      - "8088:8088"
17
    volumes:
18
      - /etc/localtime:/etc/localtime
19
      - ./data:/usr/local/next-terminal/data
20
    restart:
21
      always
22
# 后台启动
23
docker-compose up -d
24
# 更新
25
docker-compose pull && docker-compose restart

反向代理

nginx 等web服务器反向代理 next-terminal 使用，一是可有效避免伪造 IP 绕过系统限制，二是开启 https 后可无缝同步系统粘贴板。

通过nginx配置好vhost和ssl后，在nginx配置文件，添加以下配置


xxxxxxxxxx
8
1
location / {
2
    proxy_pass http://127.0.0.1:8088/;
3
    proxy_set_header Host      $host;
4
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
5
    proxy_set_header X-Real-IP $remote_addr;
6
    proxy_set_header Upgrade $http_upgrade;
7
    proxy_set_header Connection $http_connection;
8
}

使用

默认账户密码 admin/admin 登录系统添加服务器资产添加资产.png 直接通过浏览器接入网页接入.png

Linux ssh 安全设置

Linux ssh 安全设置，Linux默认的SSH端口是22，为了安全性就需要修改掉默认的SSH端口号，防止被穷举密码。禁止root登录，新建普通用户登录。

修改SSH默认端口

编辑/etc/ssh/sshd_config 文件


xxxxxxxxxx
1
1
vim /etc/ssh/sshd_config

找到Port 22 改成Port 10086


xxxxxxxxxx
4
1
# 重启ssh
2
/etc/init.d/ssh restart
3
# 添加防火墙，放行 10086端口
4
iptables -A INPUT -p tcp --dport 10086 -j ACCEPT

禁止root登录

禁止root登陆，新建普通用户，登陆后用su -命令转到root用户。


xxxxxxxxxx
4
1
useradd username #新建用户
2
passwd username #设置密码
3
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config #设置禁止root登陆
4
/etc/init.d/ssh restart #重启SSH

一般设置这些就够了，也可以设置更强的密钥登陆。