Bastion 项目使用教程

Bastion 项目使用教程

bastion 🔒Secure Bastion implemented as Docker Container running Alpine Linux with Google Authenticator & DUO MFA support 项目地址: https://gitcode.com/gh_mirrors/bast/bastion

1. 项目介绍

Bastion 是一个安全的堡垒机实现，作为 Docker 容器运行在 Alpine Linux 上，支持 Google Authenticator 和 DUO 多因素认证（MFA）。该项目旨在为生产集群提供安全的远程访问，特别适用于 Kubernetes 环境。Bastion 通过 GitHub Authorized Keys 来管理用户访问权限，确保只有授权用户能够访问生产环境。

2. 项目快速启动

2.1 运行 Bastion 容器

首先，确保你已经配置了 ~/.ssh/authorized_keys 文件，并且你的 SSH 密钥（例如 ~/.ssh/id_rsa）已经添加到 SSH 代理中。

docker run -it -p 1234:22 \
  -e MFA_PROVIDER=google-authenticator \
  -v ~/.ssh/authorized_keys:/root/.ssh/authorized_keys \
  cloudposse/bastion

2.2 连接到 Bastion

在另一个终端中，使用以下命令连接到 Bastion：

ssh root@localhost -p 1234

首次连接时，系统会提示你设置 MFA 设备。之后每次连接时，系统会提示你输入 MFA 令牌。

3. 应用案例和最佳实践

3.1 生产环境访问控制

Bastion 可以作为生产环境的跳板机，通过 GitHub Authorized Keys 自动配置用户访问权限。这样可以确保只有经过授权的用户才能访问生产环境，并且所有访问都会被记录和审计。

3.2 多因素认证

Bastion 支持 Google Authenticator 和 DUO 多因素认证，提供额外的安全层。特别是 DUO 支持自动推送通知到移动设备，用户只需在手机上确认即可完成认证。

3.3 Slack 通知

Bastion 支持 Slack 通知功能，每次有用户连接到 Bastion 时，都会在 Slack 中发送通知。建议使用 Slack 通知进行自我报告，用户需要回复通知以说明远程访问的原因，并由“伙伴”批准登录。

4. 典型生态项目

4.1 Kubernetes

Bastion 特别适用于 Kubernetes 环境，可以与 GitHub Authorized Keys 结合使用，提供安全的远程访问控制。

4.2 GitHub Authorized Keys

GitHub Authorized Keys 是一个开源项目，用于管理 SSH 密钥。Bastion 通过 GitHub Authorized Keys 自动配置用户访问权限，确保只有授权用户能够访问生产环境。

4.3 DUO MFA

DUO 是一个企业级的多因素认证提供商，Bastion 集成了 DUO MFA，提供强大的认证功能。

4.4 Google Authenticator

Google Authenticator 是一个免费的开源多因素认证解决方案，Bastion 支持 Google Authenticator，提供额外的安全层。

bastion 🔒Secure Bastion implemented as Docker Container running Alpine Linux with Google Authenticator & DUO MFA support 项目地址: https://gitcode.com/gh_mirrors/bast/bastion