【运维知识进阶篇】一篇文章带你搞懂Jumperserver(保姆级教程:安装+用户与用户组+创建资产+授权资产+创建数据库+sudo提权+命令过滤+多因子认证+网域功能+审计台)

已于 2023-07-30 10:11:24 修改
阅读量5.4k 收藏 58
点赞数 9
分类专栏: # 进阶运维知识 运维知识分享 文章标签: 运维 Jumperserver 跳板机 ssh linux 系统架构 堡垒机
于 2023-07-12 09:00:00 首次发布
不予转载
本文链接:https://blog.csdn.net/qq_37510195/article/details/130622707
版权

本篇文章介绍Jumperserver,包括安装部署,创建用户组,创建用户加入组(Jumperserver用户),创建管理用户(创建密钥管理,和客户端做免密钥登录),创建系统用户(管理用户会把系统用户自动创建到客户端),创建资产(通过ssh免密钥实现连接),授权资产给用户或组,账号推送,创建数据库并进行应用测试,使用两个系统用户测试sudo提权,测试命令过滤加强系统安全性,多因子认证,网域功能。Jumperserver部署很简单,几条命令实现安装部署,使用也都是中文,点点点即可,但是在公司,你要是新接触可能两天都研究不明白,而在我这里,一篇文章即可。

目录

Jumperserver安装

Jumpserver用户与用户组

创建资产

授权资产给用户或用户组

一、账号推送

二、授权资产

三、验证测试(以开发-小王访问Web01为例)

四、Xshell连接

创建数据库

sudo提权

命令过滤

多因子认证

网域功能

一、准备服务器

二、创建网关

三、添加资产

审计台

Jumperserver安装

这里我安装在虚拟机,2核,4G运行内存(根据情况调整)

#1、curl命令下载脚本,bash执行,一键自动安装部署
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

#2、启动jumperserver
cd /opt/jumpserver-installer-v3.2.2
./jmsctl.sh start     #启动

./jmsctl.sh -h        #查看帮助
./jmsctl.sh down      #停止
./jmsctl.sh uninstall #卸载

#3、浏览器访问,默认账户密码admin,admin,登录并修改密码

Jumpserver用户与用户组

用户分类:

1、登录jumperserver的用户
2、通过jumpserver连接后端服务器的用户,需要在后端所有的服务器上创建普通用户
3、特权用户,免密钥连接后端服务器的root账号

先创建用户组 

df9161510f9f4ae3901154f30ea5544c.png

6425811402a547978277ab52f6602310.png

7016b1aa3650405d9a89e54ef9a2ae8a.png

6a386ce8394d47459c9893916432c42c.png

 再去用户列表创建用户,并将用户加入用户组,这里的用户是指jumperserver的登录用户

225cc84226584e8da543790a47c27d51.png

输入相应内容,下滑选择保存并继续添加,注意!实际工作中请不要将用户名设置为中文,否则Xshell会很难通过用户名和密码登录

756d922f9e4c4f78830ab6510dee6740.png

309e064c516f479b9d68c896b651cff4.png

fe22526cac594d04876434b4197e2b52.png

创建资产

在Default右键创建节点

76d881d5808e4622984cb16e109ebad0.png

 fa0c47305dcb45d19f1c0a3d524f3f31.png

 可以选中节点,在节点里创建资产,这里假设Web01在阿里云,Web02在IDC机房 

df63152860a24ea49689545e7a32f4e5.png

这里我们先创建密钥对,将公钥分发给客户端,导出私钥,待会儿用

[root@Jumper ~]# ssh-keygen
[root@Jumper ~]# ssh-copy-id -i .ssh/id_rsa.pub 172.16.1.7
[root@Jumper ~]# ssh-copy-id -i .ssh/id_rsa.pub 172.16.1.8

[root@Jumper ~]# sz .ssh/id_rsa
[root@Jumper ~]#

e9d9c414fe0e410a8e04cbc039b4837a.png

f85e7b12640940a4a2c672dc5f6a5f7a.png fb2f641d8a4741d994bc97d4810910b8.png

保存并继续创建,修改信息后,提交 

aee8420124a14401bb5f7753ad20bb97.png

8c8f5ec12abb46f2a047746abe8c9671.png

授权资产给用户或用户组

授权开发组(开发-小王)只能连接阿里云节点(Web01),运维组(运维-小李)只能连接IDC机房节点(Web02)

一、账号推送

推送普通账号到后端服务器并创建f87eed8b00dd4c74894dba936f0bad48.png

推送设置里可以设置想要给普通用户的命令权限

813221059625413ea1efed93f31fd40a.png

4eb61f14a20d41889676ef83e05e97ab.png

a805cdf62a354c5fa9dd2f1a171697a7.png

2c813a7168ad4475a440fdd921bcce5c.png

创建好后需要手动执行,不手动执行登录终端的时候会没有用户

fef2cbd87fc744288b29753ccde79c06.png 8d65cd68475548659bdf65332bd276de.png

二、授权资产

cf7bbb81afb742318bc74fba920052a7.png

 966e48a01d494492acb483c8cc3e0d7c.png

 26604a19f40c48f99420bb4e3611aa8a.png

三、验证测试(以开发-小王访问Web01为例)

9fdc42d287824bdda808c230dfa74ad8.png

443a86bfd171457bba38b1f932dc4b33.png

 c22f6dcf4f0e4393bb05744054373b7a.png

 Web终端可以连接b14f3891a35045269c380fc874a4f08b.png

1319d2e9f0de4110b9a19967a6723a08.png

四、Xshell连接

实际工作,我们肯定不是在网页上操作,都是利用Xshell远程连接,这里的登录用户名和密码是跳板机的用户和密码,所以说实际操作时,不要将用户名设置为中文,否则会登录不上,这里我用admin测试 

先将资产给admin授权一下,先账号推送 

506da69e8e7a4737b1e447aa8de6d3fd.png

c51b3f5148484f5f8ded1de3c7f7c608.png

80691ab6d6a0424589749364ca24f082.png

再创建授权规则

bef1a6cf95ae4faf92e41e58fb1f7af0.png 在Xshell中登录

fbf0898cfd7e45e98d2379da29c2b5a9.png

955e4d60a1f949598aeeafda85823c6a.png

输入p可以查看175c4a68dcf7401e8a27de1ca2a42f37.png

再输入1可以进入Web01

7a6a949f22134c768d6c10b62e4b0079.png

我们可以通过Xshell登录脚本,实现点击会话自动登录

 d96dc671469648f49c5ecb0aebdadfdf.png

 bcfd8b33a18f49399b64caaeacd618f5.png

点击会话后自动连接  e76f74e1dd7049eeb78bb3282a273d39.png

创建数据库

[root@Jumper ~]# ssh-copy-id -i .ssh/id_rsa.pub 172.16.1.51

eb4cf6bdcca045c89b9aa15207cfd1e8.png

 f24b8b1eb2144ee1a5f08adc01cf14e7.png

c9ce7d2fdf854f97b677568ff03caf91.png

 ​​​​​​ccc1d900e5fb4328bf73c5809f08ab59.png

1a67e46f18f542499b255928ead7287f.png

 

79641664046742258ef778b493cbd59a.png 6afa6b2a71e44497928b1886c3a77e44.png

重新去授权一下资产

06a4375690bd422bbfe4ac91316d11e3.png

 登录运维小李的账号,web终端去访问87ad5b1416c8400997ac212a796be0e9.png

8274133ac743420cb0a6a4164dfd6ecb.png

点击连接自动连接至数据库

b9c57331e5d647c8a7e5becf85d1ab7d.png

实际工作使用Xshell连接,Xshell连接数据库与连接服务器同理,注意用户名不能是英文,不再演示。

sudo提权

上面提到了sudo提权在账号推送推送参数的位置

6188e1f35583475cb29e5eabf5b9e4f6.png

 9be7d24af80440d48ddec1bd581cc36e.png

[root@Jumper ~]# which touch
/usr/bin/touch

05d59d83fd1b4b6fa207c88d08965073.png

提交后手动执行一次 

96cff08026844b46a05ec71a78fe3346.png

 运维-小李无法创建

 

2071f474ccd342bcad7b5c925d5c94c6.png

开发-小王授权后可以通过sudo创建 

02c906dacf0b4f579f159002fb3535af.png

命令过滤

先创建命令组

a6aed7c953854628be9658a6738cdb72.png

这里有个忽略大小写意思是,你输入RM也不行,也被过滤掉,如果不忽略大小写意思就是RM可以用,但是rm不能用 

df4b0bd2ee894e4c8e6cbff957cfd559.png

 再创建命令过滤的规则

61a72e89dc734b8493178b20ddaf063e.png

483d98846239463199a5b18ac0e4f7ac.pnge0925fe4aa84402290bd14c2b8c840f7.png 退出重新连接后发现rm已经禁用6e6a55e36ec34e8fbce4ed5679c072e8.png

多因子认证

可以在系统设置里进行全局设置,也可以在创建用户的时候进行开启认证 

fa639101932e4ca6a570e745f904dca8.png

退出重新登录admin用户,输入账号密码登录后选择,启用MFA 

09fbe64ee524433881d64988527423ac.png

这里无需安装,直接下一步(图片违规了)

微信小程序搜MFA验证器,扫码添加,获取验证码后输入进去(图片违规了)

 

启用成功,会跳转再次登录,输入小程序显示的验证码

522202b979c846d8994f873f6a5f2033.png 点下一步成功登录进去,开启多因子认证后更加安全!

3d928373c8cb4342b6c5a4d091dee2fb.png

网域功能

网域功能是指比如有的服务器在其他地方只有内网IP,就需要通过代理服务器进行跳转,网域功能指的是一种方式,允许用户将特定的资源分组在一个域名之下以便管理。

一、准备服务器

我这边在阿里云购买两台服务器,一台有内网和公网,一台只有内网,将这两台服务器创建在同一

网域下,实现对两台服务器的管理,先把公钥粘贴到服务器上

[root@Jumper ~]# cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCoyNcgukamY75r+VfIUDdUAcjc6s4p1PWU9c4NZtYuHVt3AP57IkvwMNg9a+hogWbCk8h6clGTpQVOOE68vK1FlnOYDMsq6tjpIiCEFckm+bfAdnhrQcecsexl5RiBZcIVTGKcNoH3KmqDP1DDymQqP4JICZJCzBzFVpbGTWArxKo4XLnuOv/0oKXbhEp2RGm+v2GMrIN7eTwYooDqbEzoYrelEISaC6ZXfRs8Dj6hpFb/D0LhjbNUrGbmCgW8NOW5FMDsTQ3MYKlS3PUKxtvco2750Edx0KsS2/K+J21M638ZOHMxCj2ne7TeMNBquZUYMNBjZ+NDEYJbMxybS0kP root@Jumper

[root@iZrj9gpfp1kgldvwunxf5hZ ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCoyNcgukamY75r+VfIUDdUAcjc6s4p1PWU9c4NZtYuHVt3AP57IkvwMNg9a+hogWbCk8h6clGTpQVOOE68vK1FlnOYDMsq6tjpIiCEFckm+bfAdnhrQcecsexl5RiBZcIVTGKcNoH3KmqDP1DDymQqP4JICZJCzBzFVpbGTWArxKo4XLnuOv/0oKXbhEp2RGm+v2GMrIN7eTwYooDqbEzoYrelEISaC6ZXfRs8Dj6hpFb/D0LhjbNUrGbmCgW8NOW5FMDsTQ3MYKlS3PUKxtvco2750Edx0KsS2/K+J21M638ZOHMxCj2ne7TeMNBquZUYMNBjZ+NDEYJbMxybS0kP root@Jumper

[root@iZrj9gpfp1kgldvwunxf5gZ ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCoyNcgukamY75r+VfIUDdUAcjc6s4p1PWU9c4NZtYuHVt3AP57IkvwMNg9a+hogWbCk8h6clGTpQVOOE68vK1FlnOYDMsq6tjpIiCEFckm+bfAdnhrQcecsexl5RiBZcIVTGKcNoH3KmqDP1DDymQqP4JICZJCzBzFVpbGTWArxKo4XLnuOv/0oKXbhEp2RGm+v2GMrIN7eTwYooDqbEzoYrelEISaC6ZXfRs8Dj6hpFb/D0LhjbNUrGbmCgW8NOW5FMDsTQ3MYKlS3PUKxtvco2750Edx0KsS2/K+J21M638ZOHMxCj2ne7TeMNBquZUYMNBjZ+NDEYJbMxybS0kP root@Jumper

b3601095a1d5441a846fb329df1b4a73.png

abc699001b5c4e158793f94856345966.png

二、创建网关

fb8b40819c534144a627ff87f053e563.png

66fc39e6031247a69015743c090bf56b.png 7e4b618262f84aeeaea89d746ef67463.png

97b4c0137c314cf0ba2ba81136387c2e.png

三、添加资产

587b70a520cc444a91acf549374bb7c1.png

38dc2fcf8df54459878ed0c6961875ce.png 5c96ae0c526e40f7962a89793973481f.png

测试也没有问题 

131a5fd14b504f51be4fbf053976059a.png 执行下阿里云节点的账号推送4de25f2a734e4e918fda169b01f7d8f8.png

b08c7501e5cd4859b9f84fadc50f64ef.png

执行完毕,用开发-小王进行远程管理,没有问题

3116bec7ad894230a2617f10c2a2fe4a.png

5c969f880e5c4a668054fe5bc0f43e9d.png

审计台

可以在审计台查看会话记录,命令记录,可以在线监控也可以看回放,也可以终止用户的连接等等操作。

d30c3393a5b34ee9b9f098faf79fa02d.png

e1fc16cc873646ed98f8aadb57dc9d35.png 06d145bed1b54c59b5f5286bda858b7a.png

c05dfe569a0d45498af5cbb9c6483dd8.png

da32b2d06f394b34bb812d51d1e2bdd7.png

我是koten,10年运维经验,持续分享运维干货,感谢大家的阅读和关注!

 

我是koten
关注
  • 9
    点赞
  • 58
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Jumpserver批量添加资产授权
道常无为
02-06 9560
一、当前环境: jumpserver环境:jumpserver-1.3 接口:http://docs.jumpserver.org/zh/docs/user_api.html python环境:Python3.6 二、两个脚本的功能 脚本1: 用读取csv的方式批量添加jumpserver中的管理用户系统用户资产节点(有节点的资产添加到当前节点) #!/usr/bin/env p...
jumper-server-部署官网版
b905184939的博客
09-09 2076
本文链接:https://www.cnblogs.com/wwtao/p/11491574.html 官网链接: https://jumpserver.readthedocs.io/zh/master/setup_by_localcloud.html 参考链接 : https://www.cnblogs.com/zsl-find/articles/11181624.html ...
jumpserver堡垒机搭建以及部署认证服务器
qq_54215818的博客
04-30 588
Jumpserver在线安装及部署CA认证服务器
Jumpserver 安装部署
qq_54947566的博客
03-12 4443
一,跳板机堡垒机概述 跳板机跳板机属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统跳板机就是一服务器,维护人员在维护过程中,首先要统一登录到这服务器上,然后从这服务器再登录到目标设备进行维护。但跳板机的缺点是没有实现对运维人员操作行为的控制和审计,出现误操作或违规操作难以定位到原因和责任人;并且跳板机存在严重的安全风险,如果跳板机系统被攻入,则后端资源完全暴露无遗。对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲,就显得力不从心
jumpserver安装
xy2920138的博客
04-05 3400
一、环境初始化 1、关闭selinux 2、配置yum源,准备阿里yum源和epel源 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo yum clean all yum repolist 3、 安装系统初始化..
jumpserver【基本使用教程
L596462013的博客
06-21 3908
管理用户资产被控服务器上的root,jumpserver使用此用户可以【推送推送系统用户】【获取资产硬件信息】等,需要注意的是【jumpserver需要先与资产节点做免密,将私钥发送到资产主机】将运维组划分为(北京、山西),将开发组划分为(北京)
jumpserver的简单安装使用
saynaihe的博客
03-22 3538
首先先自定义一下主机名,个人习惯。也可以忽略。
jumpserver 堡垒机环境搭建(图文详解)
热门推荐
my_bai的博客
03-15 5万+
Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。 特点: 完全开源,GPL授权  Python编写,容易再次开发  实现了跳板机基本功能认证授权审计  集成了Ansible,批量命令等  支持WebTerminal  Bootstrap编写,界面美观  自动收集硬件信息
Jumpserver堡垒机部署(完整过程)
S314118142的博客
09-01 7551
堡垒机是从跳板机的概念演变过来的,跳板及没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的此操作事故、一旦出现操作事故很难快速定位原因和责任人。人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性产品 ### 2.1堡垒机的作用 1.核心系统运维和安全审计管理 2.过滤和拦截非法请求访问,恶意攻击
jumpserver 使用教程_Jumpserver 简单使用
weixin_32254267的博客
12-29 5060
说起跳板机,现在首先被提起的一定是jumpserver,由于开源免费且功能强大,深受欢迎出于学习和实验的目的,通过docker方式就可以简单的搭建起来jumpserver/jms_all:latest 官方镜像运行容器docker run -d -p 8080:80 -p 2220:2222 --name jumpserver jumpserver/jms_all:latest03f9b2f8c7...
软件开发+运维方案投标资料四篇
06-08
本文将深入探讨“软件开发+运维方案投标资料四篇”中可能涵盖的关键知识点,帮助读者理解这一领域的核心要素。 首先,软件开发方案通常包含以下几个部分: 1. **需求分析**:这是项目启动的基石,需要详细列出用户...
Docker技术:Docker安装与配置教程+运维技术+超融合+虚拟技术+云计算
最新发布
06-15
Docker技术:Docker安装与配置教程+运维技术+超融合+虚拟技术+云计算; Docker技术:Docker安装与配置教程+运维技术+超融合+虚拟技术+云计算; Docker技术:Docker安装与配置教程+运维技术+超融合+虚拟技术+云计算;...
华为1+x网络建设与运维《数通知识宝典》.pdf
06-26
华为1+x网络建设与运维
1+X 网络系统建设与运维职业技能等证书(高)实验考试模拟题拓扑以及评分模块.pdf
12-30
1+X 网络系统建设与运维职业技能等证书(高)实验考试模拟题(paper以及model) 包含拓扑图以及评分模块,仅供练习。 https://www.bilibili.com/video/BV1RX4y1u7vd/
华为1+X网络系统建设与运维(高)资源包
01-05
华为1+X网络系统建设与运维(高)资源包 网络系统建设与运维教材。共12 章,包括多区域OSPF 协议,IS-IS 协议,BGP,路由引入、路由控制和策略路由,VLAN 高特性,STP,可靠性技术,服务质量,无线局域网,...
Jumperserver堡垒机管理服务器实战
悦分享
11-27 1026
跳板机就是一服务器,开发或运维人员在维护过程中首先要统一登录到这服务器,然后再登录到目标设备进行维护和操作。跳板机缺点:没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
标杆徐Linux微课堂: Jumpserver(2.0.1版本)堡垒机快速入门与实践
07-04
1.跳板机    1.1)什么是跳板机    1.2)跳板机的缺陷2.堡垒机    2.1)什么是堡垒机    2.2)什么是jumpserver3.安装jumpserver堡垒机    3.1)Docker安装    3.2)手动安装4.jumpserver初始化    4.1)变更用户密码    4.2)变更访问地址为域名    4.3)配置邮箱功能5.登陆jumpserver    5.1)浏览器访问web页面    5.1)Xshell通过[账户密码|秘钥]登陆6.jumpserver用户管理    6.1)三种用户 ( 普通用户、管理用户系统用户 )    6.2)添加普通用户    6.3)添加管理用户    6.4)添加系统用户    6.5)普通用户、管理用户系统用户之间关系与区别7.jumpserver资产管理    7.1)创建资产    7.2)创建数据库应用资产8.jumpserver授权管理    8.1)为用户分配资产    8.2)为用户分配数据库应用9.jumpserver网域功能(混合云场景)    9.1)什么是网域分布式    9.2)基于阿里云混合云场景实践10.jumpserver会话管理    10.1)在线会话、历史会话 (录像回放)    10.2)web终端、sftp文件传输、禁止危险命令、权限提升
Jumpserver堡垒机
weixin_46389787的博客
03-24 1057
Jumpserver简介: 跳板机概述: 跳板机就是一服务器,开发或运维人员在维护过程中首先要统一登录到这服务器,然后再登录到目标设备进行维护和操作。 跳板机缺点: 没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人; 堡垒机概述: 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户...
网络系统建设与运维(高)课件(1+x证书课件
09-25
网络系统建设与运维(高)课件是一门研究网络系统建设和运维的证书课程。在这门课程中,学生将学习关于网络系统建设和运维的基本原理、技术和方法。 首先,课程会介绍网络系统建设的基本概念和流程。学生将学习到如何规划、设计和实施一个网络系统。这包括确定网络需求、选择适当的网络设备和技术、进行网络布线和配置等。 其次,课程将介绍网络系统运维的重要性和方法。学生将学习到如何监控和管理网络系统的性能和安全。他们将了解网络故障排除、漏洞修补和安全策略的实施。 此外,课程还将涵盖网络系统的硬件和软件。学生将学习到如何选择和配置网络设备,如交换机、路由器和防火墙。他们还将学习到如何安装和维护网络操作系统和应用软件。 在这门课程中,学生还将参与实际的网络系统建设和运维项目。他们将应用所学的知识和技能来规划、实施和管理一个真实的网络系统。这将使他们更好地理解网络系统建设和运维的挑战和机遇。 总而言之,网络系统建设与运维(高)课件是一门为学生提供网络系统建设和运维知识和技能的证书课程。通过学习这门课程,学生将能够在实践中应用所学的知识和技能,为企业和组织提供有效的网络系统建设和运维解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是koten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值