堡垒机是什么？为什么要使用堡垒机？

1.简介

管理员角色是有所有权限，包括控制台审计台和工作台 上次说了工作台 这次主要说控制台

堡垒机用开源的jumpserver 符合4A规范，参考官方文档：https://www.jumpserver.org/

目前ip为http://你的堡垒机ip/ （后边用域名访问）

从这几个方面说明堡垒机的使用

简介

堡垒机作用

web端操作说明

ssh连接操作说明

设置

搭建部署

2.堡垒机作用

1. 安全

   1. MFA双重认证

   2. 服务器账号密码托管（不知道密码就不会丢失密码）

   3. 禁止危险命令

   4. 服务器唯一远程连接入口

2. 审计

   1. 操作命令记录

   2. 操作视频记录

   3. 上传文件下载文件记录

   4. 追溯的保障和事故分析的依据

3. 资产管理

   1. 账号管理

   2. 资产管理

   3. 资产可以批量操作

   4. 随时导出表格 弃用表格管理

4. 权限管理 

   1. 权限细分到组

   2. 权限细分到个人

   3. 防止误操作和权限滥用

还有一些其他安全策略和设置就不一一列举了。

3.web端操作说明

3.1 登录

运维创建管理员用户 用账号密码登录

运维默认从admin账号登录进去，安全起见再创建一个自己的账号给管理员权限然后禁用admin账号

3.2 个人信息

管理员登录进来 右上角个人信息和普通用户界面一样的 这次就不说了

3.3 工作台入口

<工作台> 对资产进行管理和操作 进入方法如图 点这两个地方都可以

3.4 仪表盘

<仪表盘> 就是一些用户登录信息 会话统计 用户登录TOP  和资产TOP 最近登录等

3.5 用户管理

3.5.1 用户列表

主页

有一些增删查改的操作

更新按钮 

就是修改当前用户信息 改完了提交

批量操作 

可以批量禁用 激活 更新 删除

更多

里边可以删除或克隆

克隆就是创建一个除了名称其他信息都一样的账号

创建按钮

账户

名称：就是堡垒机上显示名字

用户名：登录堡垒机的用户名

邮箱：收到注册邮件或重置密码邮件的邮箱 也就是当前创建用户的邮箱

用户组：分组授权使用

认证

密码策略：生成密码或者设置密码

MFA：二次认证，上次说过生成一个随机密码登录跳板机用

来源：可以集成其他软件 比如LDAP Radius。 默认存jumpserver的数据库

安全

系统角色：管理员是所有权限 一般为运维和领导

审计员：能看操作日志和录像 不需要连接服务器 需审计操作 一般为领导或老板

用户：就是需要连接堡垒机和服务器的开发人员

激活：就是账号的正常使用 

失效日期：默认70年  按需更改 比如要给人临时开一个服务器一个月 就可以设置失效日期

其他：一些个人信息

用户详情

基本信息

授权的资产 

授权规则 这个是权限管理创建的

授权的应用 数据库或k8s

应用授权规则 先看一下 下边会详细说明

登录规则

创建规则

可以限制用户哪天可以登录 用户的哪些ip可以登录 进一步提高安全性

搜索框

按条件搜索

自定义列表字段

想显示什么信息就勾选什么信息 下边导出是按照全部这些字段导出的

导入按钮

根据模板导入 创建和更新

导出按钮

可以按照导出范围导出 CSV或Excel

刷新按钮

就是刷新页面而已

翻页

可以设置每页显示多少条 左右箭头是翻页

3.5.2 用户组

同样的可以给用户分组 方便管理 后边授权可以直接给组权限 就不用挨个添加个人了

其他按钮的操作功能和用户列表一样

创建用户组

创建组名称 然后关联用户即可

3.5.3 角色列表

这四个是系统自带的授权角色

创建角色

创建起个名称提交

授权角色

点我刚创建的

权限比较细 这个功能按需操作

授权给哪个用户

也就是用户列表的这个系统角色 已经关联上了

3.6 资产管理

3.6.1资产列表

公司的服务器都添加到这里

资产树

最开始只有一个Default 而且这个名字也不能通过网页修改

右键一些操作 

创建 创建一个子节点

重命名 重命名一个子节点 里边有资产重命名资产就去根节点了 这点要注意

删除节点 删除一个子节点 根节点不能删 删除节点的影响同上

添加资产到节点 选择 然后确认 如下图

移动资产到节点 就是剪切粘贴 从一个子节点移动到另一个子节点

更新硬件信息 也就是批量更新 还是需要有系统用户

测试可连接性 同上

仅显示当前节点资源 和左键点子节点一样效果

显示所有子节点资产 顾名思义

校对数量和显示详情 暂时用不上

创建

主机名 唯一

ip地址 可以重复 是内网ip jumpserver连接资产用的 别乱写

系统平台 只是个标记 web终端的图标不一样 没什么特别的

公网ip 就是公网ip 只是资产管理 没什么特别的

网域 等会说

协议组 用什么协议连接就选什么 windows选rdp linux选ssh 交换机路由器选telnet 用kvm没开ssh的选vnc

特权用户 就是root 或者有sudo权限的系统账号 在系统用户里创建的 一会说

节点 就是在资产树的哪个位置

标签管理 可以写机柜位置 写物理机还是虚拟机 自定义

激活 如果是下架的机器 关机了 可以不激活

完事之后点提交就创建好了

资产详情页

资产详情

点击资产进入详情页

进来是这样的

快速更新 刚刚创建好的资产点更新和测试连接性都是失败的，因为还没有创建系统用户 

更新硬件信息 堡垒机会获取硬件信息录入数据库 前端会显示这个资产的资源指标 如上图左边

测试资产可连接性 可连接 外边会显示一个绿色对勾 刚创建好的时候是红色X

节点 就是资产树的子节点

系统用户

就是当前资产关联的系统用户 还有一些测试这个系统用户可否连接的按钮 和批量按钮

测试资产可连接性 正常情况都是绿色 如果用root特权用户又禁止root登录就显示失败

推送所有系统用户到资产

测试连接

更多操作按钮就是批量操作

搜索框 自定义列表字段和前边一样的

关联系统用户 可以在这里关联 也可以在用户那关联 双向的关联关系 

资产<----->用户 

账号列表

可以查看密码 更新密码 测试 和删除 需要先绑定MFA 

MFA上边和前一篇提到了 登录的时候需要一个动态6位密码

绑定之后 点查看会验证一次 然后就能看密码了

然后就是授权用户

这里查看授权就跳转到权限管理了

3.6.2 网域列表

做跳转用的

创建之后 需要手动加网关

一个ssh网关

用于堡垒机不能直接连接资产用的

堡垒机---->网域网关----->资产

这个网关是可以和两边连通的

3.6.3 系统用户

用户说明

这三条说得挺明确了

普通用户：就是服务器系统里的普通用户

特权用户：在普通用户基础上赋予sudo ALL的权限 用来推送普通用户 获取资产信息 创建资产的时候填写的就是特权用户  举个例子 我想在服务器里创建一个test1的用户 平时我们会去直接useradd test1 现在配置完成只需要点击推送用户到资产即可自动创建 这就是特权用户的作用 但是后续3.0的堡垒机好像要优化这里了

系统用户：已经被优化了 这里说明还没有来得及改 系统用户是登录堡垒机的用户 跟服务器资产没关系

创建普通用户

主机支持ssh rdp vnc telnet

应用支持 mysql mariadb mongodb redis k8s

更多操作  就是批量删除

普通用户一般就是给开发人员用户 

特权用户是给运维用的 下边来创建一个ssh协议的用户

这里没什么可说的了

名称就是堡垒机显示的名称

用户名就是系统账号名

动态用户名 就是用登录资产的用户 也就是每个人的名字拼音

认证方式 可以托管可以手动输入 可以自动生成

自动推送 如果需要特权用户推送 这里要打开 

sudo就是给他什么命令的sudo权限

shell不用管

家目录默认是/home/账号名

附属组 不给root组给什么都行 不给也行

命令过滤器：禁止一些操作 后边会配置

用户切换：就是你登录当前账号是根据哪个账号切换过来的  比如我写个用户切换root 实际上就是在root下执行 

su - 当前账号 

优先级：数字越小优先级越高 当有多个账号自动登录的时候 有点用

SFTP根路径：用于文件传输的根路径 默认是/tmp下 也就是文件管理的目录 上一期提到了

创建特权用户

关键字 已存在的 有免密sudo权限的账号

系统默认存在的用户是root 但是一般我们线上服务器都是禁止root登录 所以就需要挨个登录服务器创建一个运维用的高权限账号 或者临时开放所有root（不推荐）就是普通用户登录 su - root 进去 然后再创建用户 可以按照我这个操作

useradd yunwei

echo '你的密码'|passwd --stdin yunwei

echo "yunwei ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

history -d `history |grep -v grep |grep stdin|awk '{print $1}'`

tail -5 /etc/sudoers | grep yunwei

history |grep 'passwd --stdin'

注释：

创建一个名为yunwei的账号

非交互式设置yunwei账号的密码

给运维账号一个sudo all的权限

把带密码的历史记录删掉

查看一下授权结果

查看一下清除密码结果

创建和普通用户一样 只不过少了推送 因为特权用户是推送者 只有被推送者才需要打开自动推送按钮

3.6.4 命令过滤

创建一个规则 关联到系统用户 连接服务器资产的时候 必须按这个规则操作

可以按照用户 用户组 节点 资产 应用 系统用户来过滤命令

在命令过滤器规则中创建规则

可以选拒绝和允许 

正则表达式和命令类型

3.6.5 平台列表

系统默认是这些 如果有其他平台可以自己添加

这只是一个标记 无其他作用

3.6.6 标签管理

就是添加资产时候附加的标签  资产列表页可以按照标签搜索资产 没什么其他特别的

3.7 应用管理

数据库

效果就是可以直接用堡垒机连接到数据库 很方便

创建mysql没什么特别的 如果是root账号 数据库写mysql就行 如果是开发账号写开发账号有权限的库

redis的话 主机就是IP地址 数据库是0-16 还必填的 如果用证书还需要上传秘钥文件

k8s

填写k8s apiserver的地址 

可以看一下官方文档：https://docs.jumpserver.org/zh/master/admin-guide/app/kubernetes/

除了应用要求 具体操作官方也没出 后续我单独出一篇应用管理的

3.8 权限管理

权限关联

这里要特别说明一下

如果是每个服务器账号密码都不相同 这里授权要分别授权 因为授权会关联资产和账号表的信息

举个例子 我当前账号有两个资产

如果我在资产授权里加了其他资产进去

那么这个账号会同步到那个资产下，当然是无法连接的

我当时弄了100多个服务器100多个账号，这一个授权 所有服务器下多了100多个账号，但是只有一个是能连的 因为每个服务器账号密码都不一样 SO 资产授权是关联资产和账号的 这点要记住

如果只有一个特权账号连接100台的话 可以放心授权 否则分开授权

资产授权

只有名称是必填项 用户和用户组可以二选一 用户多的话 直接组授权

资产和节点也是 这里都能随时调整的

应用授权

也是 关联应用和账号 

账号就是刚才在用户管理创建的系统账号 如果是相同的连库账号，这里可以写多个应用，否则挨个创建规则

其他增删查改批量操作导入导出搜索都和上边一样

3.9 作业中心

任务列表

就是什么时候干了什么是否成功 还可以再执行或删除

任务监控

Flower

会跳转celery 和ansible

异步调度日志 有失败的可以在这里看

参考文档：https://flower.readthedocs.io/en/latest/

3.10 web终端 

和之前一样

显示的资产就是当前用户有权限登录的服务器

点击资产名称--选择系统用户（也就是这台服务器里的普通用户）--选择连接方式（ssh client需要下载客户端 后边说）-- 点击确认

连接成功

文件管理 连接SFTP 默认是tmp目录 可以上传下载

全屏显示  连接资产之后点这个 就全屏显示

语言 目前支持三种语言

设置-调整大小分辨率和其他小功能 可以自己设置

帮助 前两个跳转官方文档 

第三个跳转客户端下载页

窗口列表  可以快速切换资产

最后 退出登录 不用多说明了 就是清除session

终端屏幕设置

主题  有几十种颜色风格

分享 可以协同操作当前资产

用户就是当前用户

3.11 文件管理

直接连接到有权限的资产下的/tmp目录下

右键页面的一些功能

上边的操作都是基本的文件和文件夹的操作和windows一样

注：后续需要其他上传下载的FTP目录找运维

 4.SSH连接操作说明

和普通用户一样 只不过权限多了 显示的机器多 别误操作 误连接就行

连接地址默认为jumpserverip:2222

用户名是你 登录jumpserver的用户名

密码是你 登录jumpserver的密码

开了MFA 还需要输入6位验证码

1. 精确匹配 搜索一个ip地址 ，主机名，备注

输入之后直接登录 输入错误或者当前用户没有权限的ip就会返回没有资产

1. 模糊匹配 搜索/+ip或主机名或备注

得到结果是这样的 如果多个资产会返回多个 输入id连接

1. 输入p列出有权限连接的服务器

看上去和上边一样 其实p是列出全部 输入id连接

1. 输入g显示有权限的节点

输入g3 列出主机

1. d 列出有权限的数据库

2. k 列出有权限的k8s

3. r 刷新 有时候临时加的权限需要刷新一下

1. h 就是显示1-10 q是退出

5.设置

5.1 基本设置

站点URL就是邮箱里发的jumpserver地址 默认localhost 改成ip或者域名

公告可以自定义

5.2 邮件设置

给开发们创建用户前需要设置好邮件

按需配置了

可以内容定制 

配置好之后先测试一下

5.3 认证设置

一些第三方认证的配置

5.4 消息订阅

如果有人输入了危险命令 管理员会收到站内信 如果邮箱打钩 就会收到邮件了

监控告警就是jumpserver占用当前主机指标 如果内存cpu高了 会收到邮件 也就是下边 终端管理中的指标

5.5 终端设置

一些简单的设置 根据提示修改

监控指标 不要乱点

录像存储 可以存到其他存储里 而不是本地

命令存储 可以存到ES里

服务端点  官方也没多说明 我是没用过

端点规则

5.6 安全设置

批量命令执行 是否允许用户使用 工作台-批量命令

终端注册 是否允许终端注册

连接最大空闲时间 如果超过这个时间没操作 服务器端会主动断开 比如我要凌晨传数据 这个数应该调大 防止没传完就断开

开启水印 就是web端的水印

会话分享 web端的分享功能

全局启动MFA 加强安全性 可以选择性开启

第三方登录用户进行MFA认证 可以开启

登录附加码 可以开启

登录验证码 可以开启 反爬手段

用户密码过期时间 如果密码过期少于五天用户会收到邮件 可以设置短一些 让开发用户和管理用户定时改密码 增加安全性

MFA校验有效期 可以设置短一点

异地登录保护 开启 增加安全性

登录限制

一些反暴力破解 防攻击的策略

还有ip白名单和黑名单 比如日志抓取这个ip 每天登录失败次数过多可以直接给加黑名单

其他设置 也是一些安全设置 按需开启

密码强弱规则 

增加安全性

5.7 定期清理

如果怕日志给堡垒机磁盘空间撑满，这里可以设置

5.8 其他设置

一些设置，可以随便改改测试

5.9 系统工具

就是堡垒机的命令行的ping 和telnet

5.10 许可证

企业版需要导入 

社区版（免费版） 不需要

6.安装部署

按照官方文档步骤：https://docs.jumpserver.org/zh/master/install/setup_by_fast/#_4

想简单点就installer  需要docker环境

或者helm 需要k8s环境

想挑战搭建部署的快乐 就选source  编译安装 https://docs.jumpserver.org/zh/master/dev/build/#_22

单机压力大时需要负载均衡 参考https://docs.jumpserver.org/zh/master/install/setup_by_lb/

更新备份都在官方文档 各位自己看吧  https://docs.jumpserver.org/zh/master/