以前研究過CentOS如果以服務器端部署的話,則有很多頁面相關的組件是不會安裝的。
在實際堡壘機應用中,堡壘機或跳板機也是儘量需要少安裝組件,以增加安全性和提高性能。
而且近段時間關注過Windows/Linux間相互遠程桌面訪問的問題,他們之間是可以通過遠程桌面相互訪問。
所以,如果可以服務器Linux部署堡壘機是不是可行呢?是不是有戲呢?
通過研究Ubuntu ServerGUI的官方文檔,發現Ubuntu 推薦openbox的桌面環境。而且這個輕量級的桌面環境,還可以高度定製化,默認情況下只有一個右鍵菜單功能,大片的空白桌面,確實可能是好的選擇。
以Ubuntu Server部署後,按照官方文檔安裝xrdp、openbox相關組件,然後選擇remmina的遠程桌面來作爲windows遠程桌面客戶端軟件。
此種組件結構,訪問堡壘機內部windows機器,在流程上卻是能夠走通。但是,存在安全限制,例如,remmina支持SSH等遠程訪問協議、剪貼板共享、文件夾共享、以及文件瀏覽上面,而且GUI界面不容易作方便快捷的屏蔽,除非定製開發下remmina。後來想,是不是可以僅用只支持windows rdp遠程訪問的軟件去做呢?來達到限制的目的呢?
以此爲考慮點,就發現了xfreerdp這樣一個命令行的遠程桌面客戶端。因爲xfreerdp作爲完全以命令行參數爲配置的遠程桌面客戶端,肯定是高度可以定製的,所以,屏蔽剪貼板和文件共享並不是很問題,使得在訪問堡壘機內部只能看或修改,但是不能將資料拿出堡壘機外。
不過,命令行實在是不夠友好,能否有一個簡單的GUI頁面對其封裝呢?搜索了下Github,發現有這一款tcl/tk腳本,那就繼續試試了。
有了前面的嘗試經驗,這次的試驗速度就更快了,確實這樣一個組合流水非常可行,也滿足堡壘機/跳板機的大部分需要和安全需要!
再配置以非sudo、非root用戶的限制,以及讀寫權限的控制,也可以做到更外安全。
基於Linux的堡壘機部署方案,還在繼續實驗中,歡迎交流:)
#技術棧