腾讯云堡垒机登录linux服务器文件上传下载

原创

张航

发布于 2020-10-28 11:34:37

15.4K0

文章被收录于专栏：腾讯云安全专家服务腾讯云安全专家服务

背景

当使用腾讯云堡垒机登录linux服务器时，如何通过堡垒机进行文件上传下载

解决方案

根据使用场景不同，有三种解决方案，下面说明如何实现这三种解决方案

第一种解决方案：

此方案也是最简单快速的方式，通过终端命令实现，需要安装一个软件包，但是对于大文件上传下载可能会不稳定，会出现中断等情形，因此大文件不推荐此方案

# yum -y install lrzsz
# rz -bye 文件名，将本地文件上传至服务器
# sz -bye 文件名，将服务器文件下载至本地

第二种解决方案：

通过SFTP协议登录，此协议与ssh协议一样，都是ssh默认端口，因此CVM的ssh协议端口对堡垒机放通即可，工具选择web或者xftp均可，如下图

优点：可以支持大小文件上传下载，上传下载行为审计，并且可以对文件进行安全扫描，因此推荐该方案

第三种解决方案：

通过FTP协议登录，工具选择web或者xftp均可，本文主要介绍如何使用FTP协议登录

【原理介绍】

同ssh/telnet等协议一样，堡垒机通过FTP协议建立起通讯机制，客户端上传本地文件到堡垒机，再由堡垒机上传到资源机。需要在资源机上部署FTP服务，FTP默认启用TCP/21端口（控制端口），以及主动模式TCP/20端口（数据端口），被动模式为其他端口范围

【具体流程】

说明：若其他ftp服务器，按照ftp服务器运行的端口为堡垒机放行即可。这里说明下在本地搭建个FTP服务器，实现FTP上传及下载的过程。

1、在被管控服务器上安装vsftpd服务（这里针对centos7版本）

# yum -y install vsftpd

2、修改配置，这里启用ftp被动模式

# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
local_root=/var/ftp/test
allow_writeable_chroot=YES
pasv_enable=YES
pasv_min_port=40000  #被动模式端口起始
pasv_max_port=45000  #被动模式端口终止

3、创建ftp用户，并修改相应权限

# useradd ftpuser
# passwd ftpuser
# mkdir /var/ftp/test
# chown -R ftpuser:ftpuser /var/ftp/test

4、启动服务

# systemctl restart vsftpd

5、设置安全组，在被控服务器上为堡垒机放行TCP/21，TCP/20，TCP/40000-50000端口

6、执行登录，上传和下载

6.1、登录

6.2、上传

6.3、下载

若本地服务器有FTP服务，可以采用此方案进行文件上传下载

优点：同SFTP协议杨，可以支持大小文件上传下载，上传下载行为审计，并且可以对文件进行安全扫描

缺点：需要自建FTP服务器，过程较为复杂

【写在最后】

借助FTP协议登录方式说明，当使用telnet、VNC、xwindow登录服务器时同ftp一样，都需要在资源机本地有这些服务端，并且服务端开通的端口需对堡垒机放通，才可完成登录操作

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

数据安全网关

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

数据安全网关

登录后参与评论

0 条评论

热度