jumpserver堡垒机/跳板机

1.jumpserver介绍

1.1.跳板机，堡垒机的概念

跳板机就是一台服务器而已，运维人员在使用管理服务器的时候，必须线连接上跳板机，然后才能去操控内网中的服务器，才能登录到目标设备上进行维护和操作

1.2.跳板机的优缺点

优点：集中式对服务器进行管理

缺点：没有实现对于运维人员的行为操作监控和审计，使用跳板机的过程中，还有可能在服务器上进行错误操作，一旦出现错误操作，很难定位到实施人。

1.3.堡垒机运维思想

• 审计也只是事后的行为，审计能够发现问题以及责任人，但是无法防止问题的发生

• 只有实现了事先严格监控，才能够从源头上解决服务器误操作的事故

• 堡垒机能够穿件系统账号，该系统账号功能是属于角色区分的作用，但是也无法确定该账号的执行人

• 

1.4.堡垒机的作用

由于跳板机的不足，企业需要更新，更好，更安全的技术理念去管理服务器的运维操作，需要一种能够满足角色管理，角色授权，信息资源访问控制，操作记录和审计，系统变更和维护控制等等需求，且还能生成服务器资产统计报表等功能的一个IT堡垒机。

1.核心系统运维和安全审计管理

2.过滤和拦截非法请求访问，恶意攻击，拒绝不合法命令，进行审计口监控，报警和责任追踪

3.报警，记录，分析，处理

1.5.堡垒机的核心功能

1.单点登录功能

2.账号管理功能

3.身份认证

4.资源授权

5.访问控制

6.操作审计

1.6.堡垒机应用的场景

1.多个用户使用同一个账号

2.一个用户使用多个账号

3.缺少统一的权限管理平台，难以实现高粒度的命令权限控制

4.对于传统的网络设备无法对运维人员的远程连接命令进行加密，审计

通过更加细致的粒度对企业IT资产设备进行管理，保证企业的it设备资产安全，可靠运行，降低人为操作的分险，避免风险性，保证企业的资源资金安全

运维人员只需要记录堡垒机的账号密码，一次登录，即可快捷访问多个管理的设备，无需记忆多个账户密码，提升工作效率，且能够对于服务器最大化的安全性操作

2.安装jumpserver

2.1.随机生成加密密钥

[root@jump-server ~]# if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr 
-dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo 
$$SECRET_KEY; else echo $$SECRET_KEY; fi
19948SECRET_KEY
[root@jump-server ~]# if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat 
/dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo 
"BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> /.baserc; echo $BOOTSTRAP_TOKEN; else 
echo $BOOTSTRAP_TOKEN; fi
38CEzGrqDME9jWxp

2.2。部署jumpserver

[root@jump-server ~]# docker run -itd \ --name jumpserver \ --restart=always \ -p 81:80 -p 2222:2222 \ -e SECRET_KEY=ORZZFDcCKRt94cmKxvvv4jw2pNoF33sK2PwN0vhpP3HSVbqofH \ -e BOOTSTRAP_TOKEN=38CEzGrqDME9jWxp \ -v /opt/jumpserver/data/:/opt/jumpserver/data/ \ -v /opt/jumpserver/mysql/:/var/lib/mysql \ jumpserver/jms_all:v2.8.4 d5337a815cb8c28a4dd5c516ec1b8a9c1b31f8d58bd530925b85f3da9dd581d2 [root@jump-server ~]# docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES d5337a815cb8 jumpserver/jms_all:v2.8.4 "./entrypoint.sh" About a minute ago Up About a minute 0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:2222->2222/tcp, :::2222->2222/tcp jumpserver

1.3.访问jumpserver Web界面

http://192.168.8.2或http://192.168.8.2/ui

用户：admin

密码：admin（初次访问需要更改密码）

重新设置密码，再次登录即可

3.用户管理

3.1.创建用户

配置用户名，以及用户邮箱和密码

用户已经创建完成

3.1.1.管理用户

Admin jumpserver管理员用户

Xuchuanlong jumpserver普通用户，权限较低

管理用户，客户端>jumpserver>目标服务器

管理用户指的就是 被管理机器上的root用户，或者是可以使用sudo权限的用户，jumpserver利用该管理用户在目标机器上，进行远程的命令执行，推送系统用户，获取资产硬件信息，指标等

3.2.资产管理

资产：服务器，路由器，交换机等设备，资产

创建资产 管理用户选择上面我们创建的管理员用户

提交完成之后刷新一下

4.通过web端连接资产

点击切换工作台，web终端，就能够看到我们添加的主机在左侧

单机主机名连接即可