Jumpserver 堡垒机
Jumpserver 是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)的专业运维审计系统。Jumpserver 使用Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。 Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。
GitHub: GitHub - jumpserver/jumpserver: JumpServer 是全球首款开源的堡垒机,是符合 4A 的专业运维安全审计系统。
Jumpserver使用
官网:Releases · jumpserver/jumpserver · GitHub
仅需两步快速部署Jumpserver
-
准备一台 2核4G (最低)且可以访问互联网的 64 位 Centos 7 主机;
-
以 root 用户执行如下命令一键安装 JumpServer。
安装v2.23.1版本
[root@jumpserver ~]# curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.23.1/quick_start.sh | sh
安装过程较慢,需要下载很多组件,耐心等待。。。。
直接下载肯定不行,需要一些emmm代理软件
如需安装最新版本,可以去github公有仓库上去访问
[root@jumpserver jumpserver-installer-v2.23.1]# pwd /opt/jumpserver-installer-v2.23.1 [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh start [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh stop [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh restart
用户配置
系统用户、特权用户、普通用户的关系
-
系统用户 是JumpServer 登录资产时使用的账号,如 root
ssh root@host
,而不是使用该用户名登录资产(ssh admin@host) -
特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户, JumpServer 使用该用户来
推送系统用户
、获取资产硬件信息
等; -
普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。
用户组
用户列表
网域列表
资产列表
稍后创建
特权用户
注释: 特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户, 如 root 或 拥有 `NOPASSWD: ALL` sudo 权限的用户。 JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。
来到zabbix-proxy主机上操作
[root@zabbix-server ~]# useradd tom
[root@zabbix-server ~]# passwd tom //将密码设置为tom
[root@zabbix-server ~]# vi /etc/sudoers
测试提权是否成功
[root@zabbix-server~]# su - tom
[tom@zabbix-server ~]$ sudo useradd user01 //如果创建成功,说明提权成功,再进行一下操作
系统用户
资产列表
创建完成,进行验证主机是否可连接
资产授权
测试
一、退出admin管理员用户,使用shiyufei普通用户登录Jumpserver堡垒机平台 二、查看自己对所分配的资产有无连接权限
可以看到,可以连接,并且可以操作。
这样就测试成功了。公司都是这样用的
还有另外一种连接方式
随便找一台虚拟机
ssh -p +2222端口 + jumpserver的普通用户@jumpserver的ip 密码是jumpserver的普通用户的密码
普通用户指的是Jumpserver平台用户
[root@zabbix-server ~]# ssh -p 2222 baoshijie@192.168.91.140
连进去是这样的
按p查看有权限的主机,然后输入他的id 就能连接上 然后可以进行增删改查
历史操作命令在jumpserver上都能看见 也可以看到
配置命令规则
附一张图