出于安全原因使用跳转服务器有什么好处？

跳转服务器，或者更准确地说，堡垒主机，在目标网络和用户之间提供了一个隔离层。考虑一个包含数据库服务器、应用程序服务器、用于 PCI 的 HSM 或 NAE 以及监控系统的网络。如果没有堡垒主机，则需要公开它以维护和监视这些系统。堡垒主机为用户访问这些系统提供了一个可审计的层。它还提供了职责分离。Devops 需要访问服务器，但 Marketing 通常不需要访问。

看看这个没有堡垒主机的基本网络图：

网络上的任何用户都可以访问并可能攻击该网络中的任何服务器。但是通过使用堡垒主机，可以实施控制：

如何对跳转服务器使用双因素身份验证？

使用 TOTP进行检查libpam和配置。

为什么跳转服务器需要虚拟机？

他们没有。

• 出于安全原因使用跳转服务器有什么好处？

  我对此的理解是，总的来说，它可以让您最小化攻击面，从而使攻击更加困难。这是因为您可以将 ips 列入白名单（您可以将跳转框列入白名单）。这本质上就像需要身份验证才能与服务器进行任何通信。

• 如何对跳转服务器使用双因素身份验证？

  这取决于您如何连接到服务器，让我们假设 ssh 在这种情况下有一些工具可以做到这一点。一个很好的是 google 身份验证器，我认为有一个 Linux 软件包，称为“libpam-google-authenticator”

• 为什么跳转服务器需要虚拟机？

  我相信这样做的原因是它可以让您更好地跟踪用户并通常将它们包含在内，这样就不会对每个人的跳转框做恶意的事情。

至于 2FA，我建议使用 pam-radius，因为您可以将流程绑定到您现有的身份基础架构中，并拆分授权和身份验证。例如，如果您使用 AD，您可以设置 MS radius 插件 NPS，它将在 AD 中进行授权，并且如果将身份验证传递给第 3 方 2FA 服务器。

在这里查看我们所有的 pam-radius 教程（我在这家公司工作）：https ://www.wikidsystems.com/support/how-to/keyword/pam-radius/ 。

除了不创建单独的身份孤岛之外，还有其他关于使用 Google Authenticator 的问题：https ://www.wikidsystems.com/blog/5-issues-enterprises-should-consider-before-using-google-authenticator-for -ssh/。