jumpServer堡垒机笔记

最新推荐文章于 2024-07-10 07:30:00 发布
最新推荐文章于 2024-07-10 07:30:00 发布
阅读量505 收藏
点赞数
分类专栏: 安全 文章标签: 堡垒机
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/131941399
版权

jumpServer堡垒机

堡垒机概念


堡垒机运维思想

  • 审计也只是事后的行为,审计能够发现问题以及责任人,但是无法防止问题的发生。
  • 只有实现了事先严格监控,才能够源头上解决服务器误操作的事故。
  • 堡垒机能够创建系统账号,该系统账号功能是属于角色区分的作用,但是也无法确认该账号的执行人。

堡垒机的作用

企业需要更新更好更安全的技术理念去管理服务器的运维操作,需要一种能够满足角色管理,角色授权,信息资源访问控制,操作记录和审计,系统变更和维护控制等等需求,且还能生成服务器资产统计报表等功能等一个IT堡垒机。

  1. 核心系统运维和安全审计管理。
  2. 过滤和拦截非法请求访问,恶意攻击,拒绝不合法命令,进行审计口监控,报警和责任追踪。
  3. 报警,记录,分析,处理。

堡垒机核心功能

  1. 单点登录功能
  2. 账号管理
  3. 身份认证
  4. 资源授权
  5. 访问控制
  6. 操作审计

堡垒机的应用场景

  1. 多个用户使用同一个账号
  2. 一个用户使用多个账户
  3. 缺少统一的权限管理平台,难以实现高颗粒度的命令权限控制
  4. 对于传统的网络设备无法对运维人员的远程连接命令进行加密,审计。

企业角度看堡垒机

通过更加细致的粒度对企业IT资产设备进行管理,保证企业的IT设备资产安全,可靠运行,降低人为操作的风险,避免风险性,保证企业的资源资金安全。


管理角度来看堡垒机

运维人员只需要记录堡垒机的账号密码,一次登录,即可快捷访问多个管理的设备,无需记忆多个账号密码,提升工作效率,切能够对于服务最大化的安全操作。


编译安装jumpServer堡垒机


安装依赖包

# 安装系统初始化所需要的包
yum install -y bash-completion vim lrzsz wget expect net-tools nc nmap tree dos2unix htop iftop iotop unzip telnet sl psmisc nethogs glances bc openldap-devel gcc

# 安装jumpserver运行所需环境
yum install -y git python-pip gcc automake autoconf python-devel vim sshpass lrzsz readline-devel gettext

安装编译环境

# 安装编译环境
yum install -y cairo-devel libjpeg-turbo-devel libjpeg-devel libpng-devel libtool uuid-devel

# 可选依赖包
yum install -y freerdp-devel pango-devel libssh2-devel libtelnet-devel libvncserver-devel libwebsockets-devel pulseaudio-libs-devel openssl-devel libvorbis-devel libwebp-devel

安装视频录制插件

# 安装FFmpeg工具--用于堡垒机录像
## 安装epel源
yum install -y epel-release

## 安装nux-dextop源
rpm -Uvh http://li.nux.ro/download/nux/dextop/el7/x86_64/nux-dextop-release-0-5.el7.nux.noarch.rpm

## 安装ffmpeg包--用于屏幕录像或回放录像
yum install -y ffmpeg ffmpeg-devel

解压编译安装jumpServer

jumpServer社区版下载地址:https://community.fit2cloud.com/#/products/jumpserver/downloads

# 解压到/opt目录
tar -xf jumpserver-offline-installer-v2.28.8-amd64-7.tar.gz -C /opt

# cd到jumpServer目录
cd /opt/jumpserver-offline-installer-v2.28.8-amd64-7

修改jumpServer配置文件

# 根据需要修改配置文件模板, 如果不清楚用途可以跳过修改
cat config-example.txt

官方参考配置:https://docs.jumpserver.org/zh/master/install/setup_by_fast/#_6

# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/

## Docker 镜像配置
# DOCKER_IMAGE_MIRROR=1

## 安装配置
VOLUME_DIR=/opt/jumpserver
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR

##  MySQL 配置, 如果使用外置数据库, 请输入正确的 MySQL 信息
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver

##  Redis 配置, 如果使用外置数据库, 请输入正确的 Redis 信息
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=

# JumpServer 容器使用的网段, 请勿与现有的网络冲突, 根据实际情况自行修改
DOCKER_SUBNET=192.168.250.0/24

## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64

## 访问配置
HTTP_PORT=80
SSH_PORT=2222
RDP_PORT=3389
MAGNUS_PORTS=30000-30100

## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key

## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m

## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1

# Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=True 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=True

# Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080
JUMPSERVER_ENABLE_FONT_SMOOTHING=True

## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}

# 额外的配置
CURRENT_VERSION=

配置数据库

https://docs.jumpserver.org/zh/master/install/setup_by_fast/#_3
image.png


安装mysq+redis

安装mysql:https://blog.csdn.net/omaidb/article/details/120082063
安装redis:https://blog.csdn.net/omaidb/article/details/120424937


初始化数据库

-- 创建运行jumpserver所需的用户信息库
create database jumpserver default charset 'utf8' collate 'utf8_bin';

-- 创建用户且设置密码
create user 'jumpserver'@'%' IDENTIFIED BY '密码'

-- 给该用户授予访问数据库的权限
grant all privileges on jumpserver.* to 'jumpserver'@'%' IDENTIFIED by '同上密码';

-- 刷新权限
flush privileges;

配置nginx

# 安装nginx
yum install -y nginx

# 删除nginx的默认配置
sed -i '38,58d' /etc/nginx/nginx.conf

nginx配置如下:

# 启动进程数,通常设置成和cpu的数量相等
worker_processes 1;

#工作模式及连接数上限
events {
    # 单个后台worker process进程的最大并发链接数
    worker_connections 1024;
}

server {

    # 监听80端口
    listen 80;
    # 文件上传大小限制--堡垒机录像及文件上传
    client_max_body_size 100m;

    # 设置UI部分的请求处理
    ## location 是请求的路由动作
    location /ui/ {
        # 尝试查找匹配的文件,如果找不到则返回根目录下的index.html
        try_files $uri / /index.html;
        # 设置别名,将请求映射到/opt/lina/目录下
        alias /opt/lina/;
    }

    # 设置Luna部分的请求处理
    location /luna/ {
        # 尝试查找匹配的文件,如果找不到则返回根目录下的index.html
        try_files $/uri / /index.html;
        # 设置别名,将请求映射到/opt/luna/目录下
        ## luna路径,如果修改安装目录,此处需修改
        alias /opt/luna/;
    }

    # 设置媒体文件路径的请求处理
    location /media/ {
        # 添加Content-Encoding头,启用gzip压缩
        add_header Content-Enconding gzip;
        # 设置根目录,将请求映射到/opt/jumpserver/data/目录下
        # 录像位置,如果修改安装目录,此处需要修改
        root /opt/jumpserver/data/;
    }

    # 设置静态资源路径的请求处理
    location /static/ {
        # 设置根目录,将请求映射到/opt/jumpserver/data/目录下
        # 静态资源,如果修改安装目录,此处需修改
        root /opt/jumpserver/data/;
    }

    # 设置Koko部分的请求处理
    location /koko/ {
        # 将请求代理到http://localhost:5000
        proxy_pass http://localhost:5000;
        # 禁用代理缓存
        proxy_buffering off;
        # 使用HTTP/1.1协议
        proxy_http_version 1.1;
        # 设置Upgrade头
        proxy_set_header Upgrade $http_upgrade;
        # 设置Connection头
        proxy_set_header Connection "Upgrade";
        # 设置X-Real-IP头
        proxy_set_header X-Real-IP $remote_addr;
        # 设置Host头
        proxy_set_header Host $host;
        # 设置X-Forwarded-For头
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 关闭访问日志记录
        access_log off;
    }

    # 设置Guacamole部分的请求处理
    location /guacamole/ {
        # 将请求代理到http://localhost:8081/
        proxy_pass http://localhost:8081/;
        # 禁用代理缓存
        proxy_buffering off;
        # 使用HTTP/1.1协议
        proxy_http_version 1.1;
        # 设置Upgrade头
        proxy_set_header Upgrade $http_upgrade;
        # 设置Connection头
        proxy_set_header Connection $http_connection;
        # 设置X-Real-IP头
        proxy_set_header X-Real-IP $remote_addr;
        # 设置Host头
        proxy_set_header Host $host;
        # 设置X-Forwarded-For头
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 关闭访问日志记录
        access_log off;
    }

    # 设置WebSocket部分的请求处理
    location /ws/ {
        # 设置X-Real-IP头
        proxy_set_header x-Real-IP $remote_addr;
        # 设置Host头
        proxy_set_header Host $host;
        # 设置X-Forwarded-For头
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 将请求代理到http://localhost:8070
        proxy_pass http:localhost:8070;
        # 使用HTTP/1.1协议
        proxy_http_version 1.1;
        # 禁用代理缓存
        proxy_buffering off;
        # 设置Upgrade头
        proxy_set_header Upgrade $http_upgrade;
        # 设置Connection头
        proxy_set_header Connection "upgrade";
    }

    # 设置API请求处理
    location /api/ {
        # 将请求代理到http://localhost:8080
        proxy_pass http://localhost:8080;
        # 设置X-Real-IP头
        proxy_set_header X-Real-IP $remote_addr;
        # 设置Host头
        proxy_set_header Host $host;
        # 设置X-Forwarded-For头
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    # 设置core请求处理
    location /core/ {
        # 将请求代理到http:localhost:8080
        proxy_pass http:localhost:8080;
        # 设置X-Real-IP头
        proxy_set_header X-Real-IP $remote_addr
        # 设置Host头
        proxy_set_header Host $host;
        # 设置X-Forwarded-For头
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }

    # 设置默认请求处理
    location / {
        # 重写URL,将所有请求重定向到/ui/目录下
        rewrite ^/(.*)$ /ui/$1 last;
    }
}

启动堡垒机

# 1. 启动数据库mysql,redis
systemctl enable --now mysqld redis

# 2. 激活python虚拟环境,启动jms
jms start -d

# 3. 启动koko程序
koko -d

# 4. 启动guacd
guacd start

# 5. 启动tomcat
bash /opt/tomcat/bin/startup.sh

# 5. 启动web服务器
nginx

给目标机器添加防火墙规则

# 只允许jumpServer堡垒机的ip可以ssh登录,其他机器拒绝
## 先允许堡垒机,再拒绝所有机器,顺序不能搞反
## 一般都在安全组中配置,而不是在iptables中配置
## 1.先允许指定机器连接ssh---优先级最高,顺序不能搞饭
iptables -I INPUT -s 堡垒机ip -p tcp --dport 22 -j ACCEPT
## 2.拒绝所有机器连接ssh
iptables -A INPUT -p tcp --dport 22 -j REJECT
识途老码
关注
专栏目录
Linux部署开源堡垒机JumpServer详细教程_grant all privileges on jumpserver(1)
2401_83620927的博客
04-15 686
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
通过堡垒机链接不上linux,堡垒机-teleport的安装以及常见问题解决办法
weixin_42123296的博客
05-13 2192
teleport是一款简单易用的堡垒机系统,运用在企业对windows.linux服务器的安全使用管理以及审计。官网网址:http://teleport.eomsoft.net/ github地址:https://github.com/eomsoft/teleport我接下来讲解和安装的是2.2.10版本,官网有3.0版本但是还是预览版有些功能没有完善。teleport的windows远程是基于r...
IT知识百科:什么是云堡垒机
网络技术联盟站
08-28 1212
堡垒机(Bastion Host)是一种位于内部网络和外部网络之间的中间服务器,用于控制和监管对内部服务器的访问。它充当了一座“堡垒”,只允许经过严格认证和授权的用户进行访问,从而确保只有合法用户能够进入内部网络环境。堡垒机通过强大的身份认证和授权机制,确保只有授权用户才能够访问内部服务器。这可以防止未经授权的访问和恶意攻击。堡垒机可以记录所有用户的操作行为,包括登录、命令执行等,以便进行后期审计和监控。这有助于发现异常活动和安全威胁。
堡垒机的详细介绍
wcl20010的博客
05-13 3万+
一:运维审计型堡垒机 基本概念介绍 跳板机→堡垒机 ,被称为跳板机的原因就是,运维人员通过它和更多的设备联系→堡垒机还会审核运维的权限再返回请求,但是这样还是存在误操作等问题,有安全隐患,跳板机被攻入,会导致整个网络资源完全暴露。同时跳板机对一些资源ftp等不好操控。 堡垒机可以理解为是运维审计系统的统称:即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理
JumpServer 常见问题处理
软件用起来才有价值
01-31 1万+
本篇文章主要说明使用JumpServer堡垒机时遇到的各种小问题,这些可能是操作不当、系统环境、资产环境等各类原因导致的。本文划分了几个篇章,对常见问题进行整理总结,希望能对使用者快速定位、处理问题提供帮助。
Jumpserver入门介绍
热门推荐
imtech的博客
04-16 4万+
大多数的安全设备都接触过,只有堡垒机没有深入了解,所以一直想了解一下堡垒机的安装和使用。市面上好多商业化的物理设备堡垒机,目前没有接触,幸好有有开源的堡垒机 --Jumpserver 。今天安装测试一下。 参考资料:http://docs.jumpserver.org/zh/docs/introduce.html# 一、总体介绍 Jumpserver 是全球首款完全开源的堡垒机, 使用 GNU G.........
堡垒机的详细使用教程
angryboyaa的博客
02-24 4211
运维人员通过接入堡垒机的统一管理平台来对企业内部的信息资产进行运维操作,从而运维人员的所有运维操作都可以被堡垒机记录并审计,堡垒机上还可以通过配置各种权限来限制运维人员的操作。
7.cent7安装jumpserver高版本-v2.28.6-详细课件笔记总结-文档
05-25
2.通过jumpserver堡垒机添加和统一管理linux服务器资产,并创建不同的用户和用户组,给不同用户授权不同的linux服务器资产权限 3.通过jumpserver堡垒机添加windows服务器资产,统一进行管理 堡垒机我们有时也叫做...
搭建开源堡垒机jumperserver笔记.doc
09-24
搭建开源堡垒机 Jumpserver 笔记 本文主要介绍了搭建开源堡垒机 Jumpserver 的过程,包括设置权限访问服务器、安装 Coco 组件、安装 Web-Terminal 前端 Luna 组件、配置 Nginx 整合各组件、jumpserver 平台系统初始...
【运维】堡垒机的安装和使用
吴佳莹
12-03 6378
【运维】堡垒机的安装和使用 以前我们通过服务器管理其他的设备需要将相关的服务器一台一台的开启,然后再逐个操作,这样费时费力,还需要很多人手,烧钱。为了提高服务器的集中管理,我们今天来介绍一种软件,叫做,堡垒机。使用堡垒机的好处 运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,无须记忆多个账号和口令,提高了工作效率,降低工作复杂度。堡垒机的安装步骤*
堡垒机(跳板机、Jump Server
Dontla的博客
05-27 751
堡垒机(又称跳板机或Jump Server)主要功能是在网络的入口处提供一个受控和安全的环节,使得所有远程访问内部网络的请求都必须经过这一“安全关口”。
【安全设备】堡垒机
最新发布
weixin_54799594的博客
07-10 790
学习安全设备过程中的一些小笔记
堡垒机是什么?为什么要使用堡垒机
2303_78436387的博客
05-22 2141
jumpserver的超详细作用 确定不停下脚步看一看??
堡垒机——网络技术手段
一坨小橙子的博客
05-06 1141
什么是跳板机、跳板机的缺陷、什么是堡垒机、为什么要使用堡垒机堡垒机分类、原理、身份认证、运维方式、其他功能、JumpServer介绍、架构、组件、优势、实现的功能、Authentication身份认证、账号管理Account、授权控制Authorization、Audit安全审计、JumpServer安装部署、部署方式(单机部署、HA高可用部署、异地同步部署、集群部署)、官网下载安装包、Linux系统安装JumpServer、启动并访问
应急响应题目解题和思路
2403_85472272的博客
06-04 1361
在这次的帕鲁杯中学习到好多新的知识,感谢我队KissMyGirl的队友,荣获二等奖
Linux之手动安装jumpserver
月生的静心苑
02-04 1487
JumpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限
Jumpserver 2.28.8使用分享
大鱼
06-05 1334
Jumpserver 2.28.8使用分享
CentOS下搭建Jumpserver堡垒机_centos jumpserver,成体系化的神级软件测试进阶笔记,
2401_84247505的博客
04-15 925
Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。完全开源,GPL授权Python编写,容易再次开发实现了跳板机基本功能,认证、授权、审计集成了Ansible,批量命令等支持WebTerminalBootstrap编写,界面美观自动收集硬件信息录像回放命令搜索实时监控批量上传下载。
堡垒机堡垒机的介绍
Mo_nor的博客
04-09 1415
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。用一句话来说,堡垒机就是用来后控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事溯源)堡垒机很多时候也叫运维审计系统,它的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程师要离职或要转岗了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值