其他分享
首页 > 其他分享> > 每周一坑-手机连堡垒机拉闸登陆不上

每周一坑-手机连堡垒机拉闸登陆不上

作者:互联网

每周一坑-手机连堡垒机拉闸登陆不上   写完这篇就500篇了,一直觉得有些东西要坚持做,听随内心的声音。   今晚我要放空自己,高歌一首不写文,所以拿中午休息时间写吧。最近休息不太好,晚睡(11点半左右),但早上6点醒来就睡不回去(貌似有点胃痛)。   今天上班第一件事要做的应急演练,8点半开始。在天翼云的堡垒机策略上,我的访问策略是跟市场部经理的策略是不同的:

 

   策略由三部分组成:资源名称(随意)、绑定用户(授权哪个登录用户)、绑定资源(新建一个资源组目录,里面添加需要连接的云主机)

 

这里,我要说一个非常重要的东西(这个是解决问题的关键!!!),每个资源组的云主机相互独立,不能直接复制使用!!!举个栗子大家就明白了:资源组1配置有a、b、c云主机连接信息,资源组2不能直接从资源组1复制这些主机过来,需要重新配置。

  这个移动相当于linux的 mv 意思,如果从资源组1挪到资源组2,资源组1就没了这个机器了

 

   重新配置意味着,如果云主机账号信息一变,比如密码修改,如果密码没有同时在多个资源组(里面也有该云主机连接)修改,就会导致堡垒机的访问策略失效。

   所以今天市场部经理在手机连不上去做拉闸操作(堡垒机给他配了个他自己的账号,策略只有相关几台应急服务器),而我登录我的没问题(我是所有机器权限),而那台应急测试机器可能早前改过服务器登录账号密码,刚好他账号配置的堡垒机访问策略上,没有对应修改服务器账号密码。

  当然里面走了不少弯路,表现在:

(1)应急测试机器做了系统的安全加固,对于连续输入5次账号密码就会锁定,我当时用市场部经理账号反复测试的时候,一直连不上达到阈值被锁,需要解锁:

(2)怀疑是他手机装的客户端工具有问题(JuiceSSH),卸了重装,重装时他想从官网上下载JuiceSSH,但要去google store 下载(其中要验证google账号)。然后他的华为手机还没有google store,最终装了个山寨版的JuiceSSH

   最后感叹下,天翼的东西确实有点水,貌似阿里云的堡垒机策略就不需要反复配置资源组的云主机连接信息

  

标签:拉闸,堡垒,账号,主机,不上,一坑,资源,策略
来源: https://www.cnblogs.com/windysai/p/16473365.html