一.堡垒机的基本概念
堡垒机也是一台服务器,在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集、监控网络环境中每一个组成部分(服务器)的系统状态、安全事件、网络活动,以便集中报警、及时处理以及审计定责
堡垒机的优点
堡垒机可以给其他服务器推送sudo用户,并且为其设置权限
堡垒机多了一个用户行为监控的功能,并且是录像!如果出现误操作、违规操作而导致的事故的话,可以快速定位到原因和责任人
二.jumpserver部署
准备一台虚拟机
虚拟机的内存给大点 不然之后容易打不开jumpserver
关闭防火墙与selinux,下载lrzsz
下载lrzsz为了后面的导包
# systemctl stop firewalld && setenforce 0
# yum -y install lrzsz检查虚拟机的时间是否正确!!!!!!!
#date
查看系统时间是否正确
# ntpdate ntp.aliyun.com
校准时间导包
[root@localhost opt]# rz
[root@localhost opt]# tar xf jumpserver-offline-installer-v2.23.0-amd64-23.tar.gz
[root@localhost opt]# ls
jumpserver-offline-installer-v2.23.0-amd64-23 jumpserver-offline-installer-v2.23.0-amd64-23.tar.gz
[root@localhost opt]# cd jumpserver-offline-installer-v2.23.0-amd64-23
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ls
compose config-example.txt config_init jmsctl.sh LICENSE locale quick_start.sh README.md scripts static.env utils
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]#
下载jmsctl.sh ,一路回车
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ./jmsctl.sh install
安装成功,启动服务
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ./jmsctl.sh start
jms_mysql is up-to-date
jms_redis is up-to-date
Creating jms_core ... done
Creating jms_koko ... done
Creating jms_magnus ... done
Creating jms_web ... done
Creating jms_celery ... done
Creating jms_lion ... done
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]#
网页打开
在网页打开,输入ip 10.36.192.120就是你安装jumpserver的虚拟机
第一次登录
名字:admin
密码:admin
修改完密码,再次登录
首先创建用户组
创建普通用户小明
这个用户就是用来登录jumpserver的
创建特权用户
这个是用来登录虚拟机的用户
创建普通用户,也是登录虚拟机的用户
创建资产
此ip是你要管理虚拟机的ip,不是用来登录jumpserver的虚拟机ip
保存之后
出现此现象,退出去重新登录即可。
命令过滤
设置命令过滤器规则
进行资产授权
测试资产可连接性
用命令行登录:
输入p查看主机,因为之前添加主机只有10.36.192.65 因此这里的主机只有这一个
# ssh -p2222 admin@10.36.192.120
admin@10.36.192.120's password:
Administrator, JumpServer 开源堡垒机
1) 输入 部分IP,主机名,备注 进行搜索登录(如果唯一).
2) 输入 / + IP,主机名,备注 进行搜索,如:/192.168.
3) 输入 p 进行显示您有权限的主机.
4) 输入 g 进行显示您有权限的节点.
5) 输入 d 进行显示您有权限的数据库.
6) 输入 k 进行显示您有权限的Kubernetes.
7) 输入 r 进行刷新最新的机器和节点信息.
8) 输入 s 进行中英日语言切换.
9) 输入 h 进行显示帮助.
10) 输入 q 进行退出.
Opt>
输入p 即可查看主机
ID | 主机名 | IP | 备注
--------+-------------------------------------------------------------------------+------------------------------------------+----------------------------------------
1 | ftp | 10.36.192.65 |
页码:1,每页行数:20,总页数:1,总数量:1
提示:输入资产ID直接登录,二级搜索使用 // + 字段,如://192 上一页:b 下一页:n
搜索:
[Host]>
输入p,是查看主机 只有一台主机
输入ID 1,即是进入管理主机,发现这台主机有俩个用户 root和guest,输入用户ID 1登录
查看ip 发现成功登录。 使用命令 mv cp均被禁止,这是因为之前在网页端设置了命令过滤规则!!!!
小明登录
因为有俩个用户可以登录jumpserver 一个admin一个小明
[root@localhost ~]# ssh -p2222 xiaoming@10.36.192.120
xiaoming@10.36.192.120's password:
输入p
ID | 主机名 | IP | 备注
--------+-------------------------------------------------------------------------+------------------------------------------+----------------------------------------
1 | ftp | 10.36.192.65 |
页码:1,每页行数:20,总页数:1,总数量:1
提示:输入资产ID直接登录,二级搜索使用 // + 字段,如://192 上一页:b 下一页:n
搜索:
[Host]>
CTRL+d 是退出
修改设置
当前站点信息 设置为登录的ip
邮箱
创建新用户小帅
登录密码不设置邮箱策略,也可以直接设置密码
单独登录小帅用户
发现什么都没有
登录admin 资产授权里 添加用户小帅
登录小帅,找到WEB终端
发现小帅可以登录root用户来管理主机10.36.192.65
之前还创建一个guest普通用户 用来登录服务器的,现在看guest用户能否登录服务器
登录admin,应用管理 添加mysql
管理的是我主机10.36.192.36的mysql应用
添加登录mysql数据库的用户 xiaozhou
给mysql应用授权
小帅与admin一样 是登录jumpserver的系统用户
在10.36.192.36主机登录mysql,创建普通用户小周,来登录myslq
mysql> grant all on *.* to 'xiaozhou'@'%' identified by '123';
Query OK, 0 rows affected, 1 warning (0.00 sec)
尝试登录,成功登录
[root@localhost ~]# mysql -uxiaozhou -p123
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.7.27 Source distribution
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
切换小帅用户,尝试用xiaozhou登录mysql
1036
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
