目录
一、Jumpserver 介绍
普通用户登录限制划分
<username> ALL=(ALL) NOPASSWD: /bin/whoami <username> ALL=(ALL) NOPASSWD: /usr/bin/apt-get <username> ALL=(ALL) NOPASSWD: /usr/bin/yum <username> ALL=(ALL) NOPASSWD: /usr/bin/dnf <username> ALL=(ALL) NOPASSWD: /usr/bin/systemctl <username> ALL=(ALL) NOPASSWD: /bin/cp <username> ALL=(ALL) NOPASSWD: /bin/mv <username> ALL=(ALL) NOPASSWD: /bin/rm <username> ALL=(ALL) NOPASSWD: /bin/mkdir <username> ALL=(ALL) NOPASSWD: /bin/chmod <username> ALL=(ALL) NOPASSWD: /bin/chown <username> ALL=(ALL) NOPASSWD: /sbin/ifconfig <username> ALL=(ALL) NOPASSWD: /sbin/ip <username> ALL=(ALL) NOPASSWD: /bin/ping <username> ALL=(ALL) NOPASSWD: /usr/sbin/traceroute <username> ALL=(ALL) NOPASSWD: /usr/bin/tail <username> ALL=(ALL) NOPASSWD: /usr/bin/less <username> ALL=(ALL) NOPASSWD: /bin/grep <username> ALL=(ALL) NOPASSWD: /usr/bin/scp <username> ALL=(ALL) NOPASSWD: /usr/bin/sftp <username> ALL=(ALL) NOPASSWD: /usr/bin/rsync <username> ALL=(ALL) NOPASSWD: /usr/bin/scp <username> ALL=(ALL) NOPASSWD: /usr/bin/sftp <username> ALL=(ALL) NOPASSWD: /usr/bin/rsync <username> ALL=(ALL) NOPASSWD: /bin/netstat <username> ALL=(ALL) NOPASSWD: /usr/bin/ss <username> ALL=(ALL) NOPASSWD: /bin/chown -R <username> /data/servers, /bin/chmod -R u+rwx /data/servers #合并成一条。 xingdaorong ALL=(ALL) NOPASSWD: /bin/whoami, /usr/bin/apt-get, /usr/bin/yum, /usr/bin/dnf, /usr/bin/systemctl, /bin/cp, /bin/mv, /bin/rm, /bin/mkdir, /bin/chmod, /bin/chown, /sbin/ifconfig, /sbin/ip, /bin/ping, /usr/sbin/traceroute, /usr/bin/tail, /usr/bin/less, /bin/grep, /usr/bin/scp, /usr/bin/sftp, /usr/bin/rsync, /usr/bin/scp, /usr/bin/sftp, /usr/bin/rsync, /bin/netstat, /usr/bin/ss, /bin/chown -R xingdaorong /data/, /bin/chmod -R u+rwx /data/
1、跳板机和堡垒机理解
1.1、跳板机
跳板机和堡垒机都是用于加强对远程访问的安全控制
跳板机是一种用于单点登陆的主机应用系统。跳板机通常是由一台服务器能过特定的软件实现,维护人 员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但 跳板机没有实现对运维人员操作行为的控制和审计,跳板机存在严重的安全风险,一旦跳板机系 统被攻入,则将后端资源风险完全暴露无遗。支持协议相对较少,例如windows、linux跳板机,支持ssh权限
1.2、堡垒机
由于跳板机的不足,更多的组织需要更先进、更好的安全技术,来实现运维操作管理和安全。堡垒机开始 以独立的产品形态被广泛部署,有效降低了运维操作风险,使得运维操作管理变得更简单、更安全。堡 垒机能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并 生成一些统计报表配合管理规范,从而不断提升IT内控的合规性。
2、jumpserver简介
二、Jumpserver 安装部署
2.1、部署规划
| 主机名 | IP地址 | 部署服务 |
| node01.opsvv.com | 192.168.101.100 | Jumpserver(allinone) |
| node02.opsvv.com | 192.168.101.101 | 被管理节点 |
| node03.opsvv.com | 192.168.101.102 | 被管理节点 |
2.2 、安装要求 JumpServer 环境要求:
硬件配置: 2个CPU核心, 4G 内存, 50G 硬盘(最低)
操作系统: Linux 发行版 x86_64
2.3、安装方法介绍 官方提供了多种安装方法
手动部署: 按组件逐个实现
极速部署: 资产数量不多,或者测试体验的用户请使用本脚本快速部署 容器部署: 基于docker 实现
分布式部署: 适用大型环境
yum -y install wget gcc epel-release git
cd /opt
wget https://github.com/jumpserver/installer/releases/download/v2.28.8/jumpserver-installer-v2.28.8.tar.gz
tar -xf jumpserver-installer-v2.28.8.tar.gz
cd jumpserver-installer-v2.28.8
# 根据需要修改配置文件模板, 如果不清楚用途可以跳过修改
cat config-example.txt
# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/
## Docker 镜像配置
# DOCKER_IMAGE_MIRROR=1
## 安装配置
VOLUME_DIR=/opt/jumpserver
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR
## MySQL 配置, 如果使用外置数据库, 请输入正确的 MySQL 信息
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver
## Redis 配置, 如果使用外置数据库, 请输入正确的 Redis 信息
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=
# JumpServer 容器使用的网段, 请勿与现有的网络冲突, 根据实际情况自行修改
DOCKER_SUBNET=192.168.250.0/24
## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64
## 访问配置
HTTP_PORT=80
SSH_PORT=2222
RDP_PORT=3389
MAGNUS_PORTS=30000-30100
## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key
## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m
## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1
# Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=True 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=True
# Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080
JUMPSERVER_ENABLE_FONT_SMOOTHING=True
## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}
# 额外的配置
CURRENT_VERSION=
# 安装 ./jmsctl.sh install # 启动 ./jmsctl.sh start 安装完成后配置文件 /opt/jumpserver/config/config.txt cd /opt/jumpserver-installer-v2.28.8 # 启动 ./jmsctl.sh start # 停止 ./jmsctl.sh down # 卸载 ./jmsctl.sh uninstall # 帮助 ./jmsctl.sh -h
导入镜像
使用jumpserver脚本初始化和启动数据库
[root@node01 jumpserver-installer-v2.28.8]# bash jmsctl.sh install
jumpserver服务启动
[root@node01 jumpserver-installer-v2.28.8]# bash jmsctl.sh start
三、Jumpserver平台使用
3.1、Admin登录
默认用户admin默认密码admin
修改基本信息
3.2、配置邮件通知
163邮箱为例
发送邮件通知,密码使用授权密码
接收邮件
测试发送邮件
查看邮箱
3.3、创建平台登录用户
JumpServer 支持三种登录用户
普通用户
系统审计员
系统管理员
3.3.1、权限划分
| 部门 | 平台分组 | 平台登录用户 | 系统用户 |
| 研发 | dev01 | xunyu | dev |
| dev02 | jiaxu | ||
| 测试 | test | xingdaorong | test |
| 运维 | ops | xinglu | ops |
3.3.2、创建组
由于没有创建用户不用选择用户
以此类推创建四个分组
3.4、 新建jumpserver四个用户登录组
3.4、Jumpserver资产管理
3.4.1、创建资产树
创建dev资产,添加dev组的机器
右键,创建节点节点
dev资产树添加node01主机
还没创建特权用户,暂时不选
创建完资产树后添加对应的主机。
3.4.2、登录jumpserver的普通用户
没有给平台用户授权前,看不到资产。
3.4.3、jumpserver用户授权资产
admin用户操作
普通用户登录jumpserver后可以看到哪些资产
ops组内都用户登录后都可以看到资产
其他组参考上面操作
切换普通用户可以看到授权的资产列表,无法登录
3.5、创建系统用户授权(登录服务器)
3.5.1、创建管理用户
管理用户是jumpServer用来管理后端服务器或其它资产的管理员用户,此用户必须对后端服务器有管理 权限
管理用户特点:
通常是后端服务器的root或者是具备root权限的超级用户 用于推送或者是创建系统用户 用于获取被管理的硬件资产信息
3.5.2、创建普通系统用户
登录admin给登录平台用户添加服务器对应的系统用户
3.5.3、授权系统用户
授权那些系统用户登录机器
更新dev组
更新ops
参考dev
更新test
参考dev
查看效果
检查是否自动推送不同的系统用户到主机
3.5.4、前端验证系统登录
普通用户登录jumpserver验证是否可以登录服务器
3.5.5、通过命令行ssh登录
填写jumpserver平台用户
根据选项登录服务器
3.6、创建系统审计员
注意邮箱账号不能重复
4.1、管理应用(mysql)
4.1.1、mysql数据库创建
使用docker-compose启动数据库
用户test密码123456
授权数据库test
4.1.2、添加应用资产
创建mysql协议的系统用户
九、3版本快速配置
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
1122
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
