为Akamai 云平台上部署的资源配置2FA跳板机-下
最新回答
屋顶上的小猫咪
2021-03-24 05:32:43
为在Akamai云平台上部署的资源配置2FA跳板机,可按照以下步骤操作:
一、部署Cockpit服务器作为跳板机需提前在Akamai云平台完成Cockpit服务器的部署,该服务器将作为跳板机/隧道的核心节点。
二、创建用户账户- 登录Cockpit管理界面访问已部署的Cockpit服务器URL或IP地址,使用StackScript中配置的初始凭据登录。
- 创建新账户
在左侧导航栏点击 "Account" 菜单,选择 "Create new account" 按钮。
填写用户详细信息(如用户名、密码等),点击 "Create" 完成账户创建。
- 用户视角登录使用新创建的用户凭据重新登录Cockpit界面,打开 "Terminal" 选项卡。
- 启动Google Authenticator配置在终端输入命令 google-authenticator 并回车,系统将引导完成2FA设置流程:
根据提示选择身份验证行为(如时间同步容差、备用验证码数量等)。
关键步骤:保存生成的二维码或密钥文件,用于后续绑定Google Authenticator应用。
- 验证2FA功能退出当前会话,重新登录时需输入用户名、密码及Google Authenticator生成的动态验证码。
- 进入账户管理在Cockpit界面左侧导航栏点击 "Accounts",选择当前用户名进入详情页。
- 添加SSH密钥
在右侧 "SSH Keys" 区域点击 "+" 按钮。
粘贴用户的SSH公钥内容(如 id_rsa.pub 文件内容),点击 "Add Key" 完成绑定。
- 跳板机网络规则
限制跳板机的入站流量仅允许SSH(默认端口22)及管理界面访问(如HTTPS 443端口)。
禁止跳板机主动发起出站连接至非授权IP范围。
- 目标资源防火墙规则
仅允许来自跳板机IP的访问请求,拒绝其他所有外部IP的直接连接。
示例规则:
Allow from <Jumpbox_IP> to <Target_Resource_IP> on port 22 (SSH)Deny all other inbound connections to <Target_Resource_IP>
- 本地机器配置
确保本地已安装SSH客户端及Google Authenticator应用。
通过SSH连接跳板机时,需提供以下信息:
ssh -p 22 <username>@<Jumpbox_IP> - 2FA验证步骤
输入用户名密码后,系统会提示输入动态验证码。
打开Google Authenticator应用扫描二维码或手动输入密钥,获取6位验证码并输入。
- 访问目标资源
登录跳板机后,通过内部SSH或专用协议访问受保护的云资源(如Docker容器、SaaS应用等)。
- 密钥管理:建议使用SSH代理转发(ssh-agent)避免重复输入密钥密码。
- 高可用性:可部署多台跳板机并配置负载均衡,避免单点故障。
- 日志审计:启用Cockpit的日志记录功能,监控所有登录及命令执行行为。
完成上述步骤后,所有通过跳板机访问Akamai云资源的操作均需经过用户名/密码+动态验证码双重认证,显著提升安全性。
热门标签
