SSH跳板机是企业级Linux运维中用于集中管理内网服务器访问的安全架构，作为唯一对外的SSH入口，所有连接需先经跳板机再转至目标主机。其核心优势包括缩小暴露面、集中认证审计和精细化权限控制。部署步骤：1. 选用最小化系统并加固，仅开放SSH端口；2. 配置sshd禁止root登录、禁用密码认证、限制用户组访问；3. 创建普通运维账户并部署SSH密钥；4. 内网服务器仅信任跳板机IP，配置公钥免密登录。进阶安全措施包括启用双因素认证、使用SSH ProxyJump简化连接、开启auditd日志审计并对接集中日志系统，以及部署高可用冗余跳板机并通过自动化工具同步配置。关键原则为最小权限、密钥认证、全程审计与定期维护，确保架构安全可控。

在企业级 Linux 运维中，SSH 跳板机（Bastion Host）是一种常见的安全架构设计，用于集中管理对内网服务器的访问。它作为唯一对外暴露的 SSH 入口，所有远程登录必须先连接跳板机，再从中跳转到目标主机，从而减少攻击面、提升审计能力。

什么是 SSH 跳板机

SSH 跳板机是一台位于公网边缘、经过严格加固的 Linux 服务器，专门用于中转 SSH 连接。内部服务器不直接对外开放 SSH 端口（22），只允许来自跳板机的连接。这种结构常用于 VPC 或私有网络环境中。

• 缩小暴露面：仅跳板机开放 22 端口
• 集中身份认证与审计：所有操作可记录
• 便于权限控制：基于用户/角色分配访问权限

部署跳板机的基本步骤

以下是构建一个基础但安全的跳板机架构的关键流程。

• 使用最小化安装的 Linux 发行版（如 CentOS Stream、Ubuntu Server）
• 关闭不必要的服务和端口
• 配置防火墙（firewalld 或 iptables），仅开放 SSH 端口
• 修改默认 SSH 端口（可选，防扫描）

编辑 /etc/ssh/sshd_config 文件：

• 禁止 root 登录：PermitRootLogin no
• 禁用密码认证，强制使用密钥：PasswordAuthentication no
• 限制允许登录的用户组：AllowGroups sshusers
• 设置空闲超时断开：ClientAliveInterval 300 和 ClientAliveCountMax 2

重启 SSH 服务：systemctl restart sshd

• 添加普通用户：useradd -m opsuser
• 设置强密码策略（即使不用密码也建议设）
• 将用户加入指定组：usermod -aG sshusers opsuser
• 部署公钥到 ~/.ssh/authorized_keys

• 在每台内网服务器上创建对应用户
• 将跳板机上用户的公钥写入目标主机的 ~/.ssh/authorized_keys
• 确保内网服务器的防火墙仅允许跳板机 IP 访问 22 端口

提升安全性与可用性

生产环境需进一步增强防护机制。

结合 Google Authenticator 实现动态验证码 + 密钥双重验证，显著提高账户安全性。

客户端可通过以下命令一键连接内网主机：

ssh -J bastion-user@bastion-ip internal-user@internal-host

或配置 ~/.ssh/config：

Host jump
  HostName bastion-ip
  User bastion-user
  IdentityFile ~/.ssh/id_rsa_bastion

Host server-a
  HostName 192.168.1.10
  User opsuser
  ProxyJump jump

之后直接运行 ssh server-a 即可自动跳转。

• 启用 auditd 监控关键操作
• 记录所有用户的 SSH 登录行为
• 配合集中日志系统（如 ELK、Graylog）做分析

高可用与灾备考虑

单点跳板机会带来风险，建议：

• 部署至少两台跳板机构成冗余
• 使用 DNS 轮询或负载均衡器分发连接（注意保持会话一致性）
• 同步密钥和用户配置（可用 Ansible 自动化）