小白到运维工程师自学之路 第八十集 (Jumpserver堡垒机管理)1

最新推荐文章于 2023-12-18 10:04:19 发布
最新推荐文章于 2023-12-18 10:04:19 发布
阅读量412 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/REUSNN/article/details/132559948
版权

一、为什么要使用堡垒机

1、统一入口、规范管理

提供统一入口,所有运维人员只能登录堡垒机才能访问服务器,梳理“人与服务器”之间的关系,防止越权登录。

 

2、利用手机APP动态口令等验证机制

采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制防止密码被暴力破解,解决访问身份模糊的问题

3、托管服务器密码,实现自动改密

通过堡垒机定期自动修改服务器的密码,解决手工修改密码、密码泄露和记住密码的烦恼。

1、可自动修改Windows、Linux、Unix、网络设备等操作系统的密码

2、可以设置周期或指定时间执行改密任务

3、可设定密码的复杂度、随机密码、指定密码、固定密码格式等

4、可通过邮件、SFTP、FTP方式自动发送密码文件给管理员

5、提供密码容错机制:改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等

4、事中控制,防止违规操作

作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技。

1、通过命令控制策略,拦截高危、敏感的命令

2、通过命令审核策略,审批需要执行但又不能随意执行的命令

3、通过文件传输控制策略,防止数据、文件的泄露

5、精细化审计,追溯整个运维过程

堡垒机要做到文件记录、视频回放等精细化完整审计,快速定位运维过程:

1、不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录。

2、还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据。

二、jumpserver简介

Jumpserver 是全球首款完全开源的堡垒机(跳板机),使用 GNU GPL v2.0 开源协议,是符合 4A(认证Authentication、授权Authorization、记账Accounting、审计Audit) 的专业运维审计系统。Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发限制。

基于ssh协议来管理。被管理的服务器无需安装agent软件。助力互联网企业高效的对用户、资产(服务器)、权限、审计集中管理。而且管理界面是中文的,是一款无论从功能还是使用便捷度上来讲,都是非常不错的选择。

官网网站:http://www.jumpserver.org/

1、支持的操作系统

  • Redhat CentOS
  • Debian Ubuntu
  • SUSE
  • FreeBSD
  • 其他ssh协议硬件设备(如交换机...)

2功能介绍

1.  精确记录操作命令

2.  支持批量文件上传下载

3.  支持主机搜索登录

4.  支持批量命令执行(Ansible完成)

5.  支持WebTerminal连接主机

6.  支持Web端批量命令执行

7.  支持录像回放

8.  支持硬件信息如cpu,内存等抓取

9.  支持资产Excel导入导出

10. 支持资产批量更改

11. 支持系统用户的批量推送(Ansible实现)

12. 支持用户,主机,用户组,主机组,系统用户混合细颗粒授权

13. 支持sudo管理

14. 支持命令统计和命令搜索

15. 支持上传下载文件审计

16. 支持终止用户连接

17. 支持各种搜索

18. 其他

3、Jumpserver组件说明

  1. Jumpserver:为管理后台, 管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作,默认端口为 8080/tcp 配置文件在 jumpserver/config.yml
  2. Coco:为 SSH Server 和 Web Terminal Server 。用户可以通过使用自己的账户登录 SSH 或者 Web Terminal 直接访问被授权的资产。不需要知道服务器的账户密码,默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 coco/config.yml
  3. Luna:为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件
  4. Guacamole:为 Windows 组件, 用户可以通过 Web Terminal 来连接 Windows 资产 (暂时只能通过 Web Terminal 来访问), 默认端口为 8081/tcp
  5. Nginx:默认端口为 80/tcp,前端代理服务
  6. Redis:默认端口为 6379/tcp,数据库缓存服务
  7. Mysql:默认端口为 3306/tcp,数据库服务 

 三、部署Jumpserver环境

获取官网的安装脚本
wget https://github.com/jumpserver/jumpserver/releases/download/v2.28.0/quick_start.sh 

执行安装脚本
sh quick_start.sh

 访问192.168.77.17:8080

默认用户是admin 密码是:admin

四、Jumpserver配置应用 

1、创建普通用户

根据实际情况填写用户的微信手机

2、创建特权用户

3、添加资产

创建完成后再次回到资产列表就可以看到了

4、资产授权

出现就成功了

5、登录普通用户进行测试

由于篇幅限制本篇文章分成两篇

Silver彡Wolf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jumpserver使用文档
11-07
jumpserver的使用文档,初次登录,主机连接,ssh秘钥登录,秘钥生成等操作说明
jumpserver 管理
qq_41268548的博客
09-22 419
jumpserver 管理1.创建jumpserver用户2.创建jumpserver用户组3.创建管理用户(资产服务器上存在的系统用户)4.创建系统用户5.创建资产节点6.创建资产(将对应的资产选到对应的资产节点)7.资产授权8.用户使用资产 1.创建jumpserver用户 #NetManager/mmds#123 2.创建jumpserver用户组 3.创建管理用户(资产服务器上存在的系统用户) 4.创建系统用户 资产管理>>系统用户>>创建系统用户(资产服务器上存在的系
Jumpserver
Liu_handsome_brother的博客
01-12 5670
http://note.youdao.com/noteshare?id=51e0b703007d0cd5312971ce43cc375d&sub=9B2CF90458FE4A1F8B4D1A6FBD89FE0D
jumpserver文件管理不能查看隐藏文件解决办法
m0_49412847的博客
11-01 614
jumpserver堡垒机文件管理
jumpserver【基本使用教程】
L596462013的博客
06-21 3712
管理用户是资产被控服务器上的root,jumpserver使用此用户可以【推送推送系统用户】【获取资产硬件信息】等,需要注意的是【jumpserver需要先与资产节点做免密,将私钥发送到资产主机】将运维组划分为(北京、山西),将开发组划分为(北京)
Photoshopcs6高手成长之路从基础到高级完全自学PS教程
07-22
资源名称:Photoshop cs6高手成长之路 从基础到高级完全自学PS教程教程目录:第1章 photoshop的简介 界面讲解第1节photoshop的简介 界面讲解与新建、打开、置入、关闭保存第2节photoshop的简介新建色彩02第3节photo...
马士兵Java自学之路-精心编辑版.pdf
11-16
马士兵Java自学之路-精心编辑版.pdf
2007年1月自学考试管理系统中计算机应用试题.pdf
11-15
2007年1月自学考试管理系统中计算机应用试题.pdf
2024嵌入式面试资料高级嵌入式软件工程师自学之路
最新发布
06-09
2024嵌入式面试资料高级嵌入式软件工程师自学之路提取方式是百度网盘分享地址
电子工程师自学速成 设计篇 _设计篇_电子工程师自学速成_
10-03
电子工程师自学速成 设计篇 534页 58.3M 超清书签版
JUMPSERVER使用手册.pdf
01-20
官网在线用户手册比较简单,功能也不够详尽。本手册是FIT2CLOUD提供的,具备详尽的说明和丰富的截图。同时也补充了官网在线手册没有的内容,比如通过SSH方式登录JUMPSERVER(而不是浏览器),用FastStone Capture工具(而不是浏览器进行文件管理等)
Jumpserver跳板机使用手册
08-09
Jumpserver跳板机的简单使用说明
Jumpserver堡垒机管理(安装和相关操作)-------从小白到大神之路之学习运维第89天
2302_77582029的博客
08-28 2439
jumpserver堡垒机安装以及相关操作
特权账号管理之账号改密(安全与便利的平衡)
ws_zzzz的博客
12-18 561
堡垒机作为企业核心数据的保护神,其账号密码的安全性直接关系到企业的信息安全。一旦堡垒机托管的资产账号密码泄露,不仅可能导致企业内部数据泄露,还可能被黑客利用,对企业造成更大的损失。因此,定期修改堡垒机托管的资产账号密码,降低密码被破解的风险,是企业网络安全管理的重要一环。然而,随着网络安全威胁的增加,堡垒机托管的资产账号密码的安全性也成为了企业关注的焦点。通过定期修改、禁用弱密码、账号备份、密码记录登方式等措施,可以降低密码被破解的风险,保障企业的信息安全。一、堡垒机账号改密的重要性。
JumpServer部署与应用实践
海贼王的博客
04-11 1526
堡垒机的主要作用权限控制和用户行为审计,堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统 , 每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权,每个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑,且每个建筑物还有自己的权限访问控制,不同级别的人可以到建筑物里不同楼层的访问级别也是不一样的
堡垒机定期修改服务器密码,堡垒机自动改密
weixin_42280315的博客
08-10 2371
堡垒机自动改密 内容精选换一换在传统的运维模式下,管理员需要定期手动修改资源账户的密码,同时维护起来也比较繁琐。如图1所示,通过云堡垒机提供的改密策略,实现自动化的改密,并且以日志形式记录改密执行结果,让管理员掌握资源的改密动态和历史密码。改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。改密策略支持以下功能项:支持通过策略手动、定时、周期修改资源账户密...
jumpServer 功能梳理】
展翅的雄鹰
02-19 975
简单来说是用户使用自己的用户名登录 JumpServerJumpServer 使用系统用户登录资产。系统用户创建时,如果选择了自动推送,JumpServer 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。https://www.bbsmax.com/A/ke5jgrLjdr/ 文章感觉清晰了不少,系统用户的使用在哪?系统用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(
jumpserver 管理手册
小树苗
08-26 2456
安装文档参考:https://blog.csdn.net/Doudou_Mylove/article/details/97109679 理论知识: 1、用户管理里面的用户列表 是用来登录jumpserver平台的用户, 用户需要先登录jumpserver平台, 才能管理或者连接资产 2、 资产管理里面的管理用户 是jumpserver用来管理资产需要的服务账户, Linux资产需要...
新一代JumpServerv3.0开源堡垒机解读-文件传输
qq_40194390的博客
11-09 5137
文件的上传下载是平时工作中必不可少的工作,那JumpServer时如何实现文件传输的呢?本章继续跟大家解读JumpServerv的文件传输。
非科班毕业自学Linux找运维工程师该如何自我面试
06-10
1. 熟悉Linux基础知识:作为一名运维工程师,你需要掌握Linux的基础知识,包括Linux的文件系统、进程管理、用户管理、网络配置等。你可以通过自学、参加培训班或认证考试等方式来掌握这些知识。 2. 熟悉常用系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值