jumpserver堡垒机

最新推荐文章于 2024-05-06 18:58:38 发布
最新推荐文章于 2024-05-06 18:58:38 发布
阅读量517 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55084041/article/details/131309500
版权

jumpserver堡垒机

类似于openvpn

不同在于:

  • openvpn没有控制的功能,也没有监控的功能
  • jumpserver不仅能连接到内网,具有openvpn核心功能外,
    • 还有控制功能,当通过jumpserver进入内网要想访问哪台主机是可以控制的,进行逻辑上的隔离
    • 有监控功能
    • 且还能控制访问的人能否执行哪些命令

可以在openvpn后面指向jumpserver,双重保护

https://jumpserver.org/

运维安全审计4A规范:

  • 身份鉴别
  • 授权控制
  • 账号管理
  • 安全审计

1、jumpserver组成

1.1、五大组件

可以分布式安装也可在一台主机安装

  • Lina

    前端UI项目,实现web页面展示,主要使用Vue, Element UI完成

  • Core

    现指Jumpserver管理后台,是核心组件(Core) ,使用Django Class Based View风格开发,支持Restful API。

  • Coco/Koko

    实现了SSH Server和Web Terminal Server的组件,提供SSH和WebSocket接口,使用Paramiko和Flask开发。

    Koko是Go版本的coco,重构了coco的SSH/SFTP服务和Web Terminal服务。

  • Luna

    现在是Web Terminal前端,计划前端页面都由该项目提供,Jumpserver 只提供API,不再负责后台渲染htmI等。主要使用Angular CLI完成,web控制台

  • Lion

    Lion使用了Apache软件基金会的开源项目Guacamole, JumpServer使用Golang和Vue重构了Guacamole实现RDPNNC协议跳板机功能。

2、安装jumpserver

单机部署,硬件环境需更改内存,建议8G

基于容器docker安装部署jumpserver

安装docker,没有要求的话按照阿里云的方法复制粘贴安装即可

docker内置有nginx

https://developer.aliyun.com/mirror/docker-ce?spm=a2c6h.13651102.0.0.57e31b1167f0tR

2.1、准备数据库

##mysql
#启动docker前先准备数据库配置文件
[root@rocky8 ~]#mkdir -p /etc/mysql/mysql.conf.d/
[root@rocky8 ~]#mkdir -p /etc/mysql/conf.d/
[root@rocky8 ~]#vim /etc/mysql/mysql.conf.d/mysqld.cnf
[mysqld]
pid-file= /var/run/mysqld/mysqld.pid
socket= /var/run/mysqld/mysqld.sock
datadir= /var/lib/mysql
symbolic-links=0 
character-set-server=utf8         #添加此行,指定字符集
[root@rocky8 ~]#vim /etc/mysql/conf.d/mysql.cnf
[mysql]
default-character-set=utf8        #添加此行,指定字符集


#启动docker
docker run -d -p 3306:3306 --name mysql --restart always \
-e MYSQL_ROOT_PASSWORD=123456 \
-e MYSQL_DATABASE=jumpserver  \
-e MYSQL_USER=jumpserver      \
-e MYSQL_PASSWORD=123456       \
-v /data/mysql:/var/lib/mysql   \
-v /etc/mysql/mysql.conf.d/mysqld.cnf:/etc/mysql/mysql.conf.d/mysqld.cnf  \
-v /etc/mysql/conf.d/mysql.cnf:/etc/mysql/conf.d/mysql.cnf   mysql:5.7.30

##redis
[root@rocky8 ~]#docker run -d -p 6379:6379 --name reids --restart always redis:5.0.9

docker指令

docker ps       #查看容器中正在运行的软件的信息
docker images   #查看所安装的软件mysql的情况
docker logs -f jms_all   #可以查看安装jumpserver成功的显示日志信息

2.2、部署jumpserver

#执行官方脚本生成随机私钥,后续该私钥视为唯一
[root@centos8 ~]#cat key.sh
#!/bin/bash
if [ ! "$SECRET_KEY" ]; then
  SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`;
  echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc;
  echo SECRET_KEY=$SECRET_KEY;
else
  echo SECRET_KEY=$SECRET_KEY;
fi
if [ ! "$BOOTSTRAP_TOKEN" ]; then
  BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`;
  echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc;
  echo BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN;
else
  echo BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN;
fi

#查看私钥
[root@centos8 ~]#tail -n2 .bashrc
SECRET_KEY=hysjeaoleZISBTaNznz51HCYhm9YxPFERsykE6I8l73BzW17nS
BOOTSTRAP_TOKEN=8gxGTQUb2fhczzEb


#运行容器docker安装jumpserver
[root@centos8 ~]#docker run --name jms_all -d \
  -v /opt/jumpserver/core/data:/opt/jumpserver/data \
  -v /opt/jumpserver/koko/data:/opt/koko/data \
  -v /opt/jumpserver/lion/data:/opt/lion/data \
  -p 80:80 \
  -p 2222:2222 \
  -e SECRET_KEY=hysjeaoleZISBTaNznz51HCYhm9YxPFERsykE6I8l73BzW17nS \     #将生成的随机私钥加入此行
  -e BOOTSTRAP_TOKEN=8gxGTQUb2fhczzEb \      #同上行
  -e LOG_LEVEL=ERROR \
  -e DB_HOST=10.0.0.200 \     #不支持写127.0.0.1,写成本机ip
  -e DB_PORT=3306 \
  -e DB_USER=jumpserver \
  -e DB_PASSWORD=123456 \     #如前面数据库准备redis没设置密码,此项可设置为空''
  -e DB_NAME=jumpserver \
  -e REDIS_HOST=10.0.0.200 \
  -e REDIS_PORT=6379 \
  -e REDIS_PASSWORD='' \
  --privileged=true \
  jumpserver/jms_all:2.19.1     #不指定版本号的话默认安装最新版本

2.3、登录jumpserver

可直接ip登录,会进入登录验证页面,默认首次登录账号密码都是admin,登录后会进入更改密码页面,最少六位,使用新密码再次登录

远程ssh也可以连接ssh -p 2222 admin@10.0.0.200,

3、jumpserver管理

大部分操作都是在web页面进行,非常傻瓜式,因此仅进行步骤说明

3.1、创建jumpserver用户和组

在web页面创建

3.1.1、登录用户账号
  • 系统管理员:admin
  • 普通用户:xiaoming
  • 系统审计员:辅助管理用,仅审计、监控,也可当做普通用户用,需自行切换
3.1.2、管理用户账号

可以让jumpserver连接到后端服务器进行一些初始化的工作,对后端后端服务器具有管理权限的系统账号,特权用户

  • 通常是后端服务器的root或者是具备root权限的超级用户
  • 用于推送或者是创建系统用户
  • 用于获取被管理的硬件资产信息
  • 实际上是后端服务器的root账号
3.1.3、系统用户账号

给登录用户账号使用ssh连接后端服务器时对应的系统账号,即系统中的普通用户

3.2、创建后端资产管理

将后端服务器添加进jumpserver,

将系统用户账号关联到相对应资产,可直接添加节点集群,需提前分类

授权规则,谁连哪台主机,资产授权

内部可以ssh连接,注意密码保护

3.3、管理数据库

搭建数据库软件,创建所需管理的数据库,账号,授权,属于应用软件,添加应用即可

当前仅支持mysql

3.4、命令过滤

可以限制谁对哪台主机可以做什么,不可以做什么,但是可以脚本绕过规则

3.5、批量导入导出资产

通过csv表格格式进行批量导入,记得推送系统用户

4、第九周作业

nginx高级应用
tomcat常见应用
tomcat简单应用
在这里插入图片描述

黑乎乎的小升
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JumpServer---堡垒
Hard work results, technology is willing to dream
09-12 845
JumpServer
Jumpserver堡垒
weixin_46389787的博客
03-24 1054
Jumpserver简介: 跳板概述: 跳板就是一台服务器,开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。 跳板缺点: 没有实现对运维人员操作行为的控制和审计,使用跳板的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人; 堡垒概述: 堡垒,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户...
jumpserver堡垒/跳板
itxuchuanlong的博客
04-24 1174
跳板就是一台服务器而已,运维人员在使用管理服务器的时候,必须线连接上跳板,然后才能去操控内网中的服务器,才能登录到目标设备上进行维护和操作。
Jumpserver堡垒部署(完整过程)
S314118142的博客
09-01 7419
堡垒是从跳板的概念演变过来的,跳板及没有实现对运维人员操作行为的控制和审计,使用跳板过程中还是会有误操作、违规操作导致的此操作事故、一旦出现操作事故很难快速定位原因和责任人。人们逐渐认识到跳板的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性产品 ### 2.1堡垒的作用 1.核心系统运维和安全审计管理 2.过滤和拦截非法请求访问,恶意攻击
文件上传入门
adxj46627377的博客
05-18 204
一、文件上传入门 1. 应用: 用户上传头像、上传图片、邮件上传附件等 2. 页面表单的实现 文件上传表单和普通表单有两个区别 1) 需要文件上传字段 <input type=”file” /> 2) form 表单的 enctype 属性需要指定为 multipart/form-data 3. 服务器端解析request ...
堡垒——网络技术手段
最新发布
一坨小橙子的博客
05-06 905
什么是跳板、跳板的缺陷、什么是堡垒、为什么要使用堡垒堡垒分类、原理、身份认证、运维方式、其他功能、JumpServer介绍、架构、组件、优势、实现的功能、Authentication身份认证、账号管理Account、授权控制Authorization、Audit安全审计、JumpServer安装部署、部署方式(单部署、HA高可用部署、异地同步部署、集群部署)、官网下载安装包、Linux系统安装JumpServer、启动并访问
Jumpserver堡垒操作手册
08-19
JumpServer堡垒操作手册 JumpServer堡垒操作手册是一份详细的管理员使用手册,旨在帮助管理员更好地了解和使用JumpServer运维安全审计系统。该手册涵盖了堡垒平台的系统架构、用户管理、资产管理、应用管理、...
jumpserver堡垒20201118下载最新版
11-18
《深入理解Jumpserver堡垒:20201118最新版解析与应用》 在信息安全领域,堡垒作为一种重要的安全管控设备,扮演着至关重要的角色。Jumpserver堡垒,作为开源堡垒的代表,因其高效、稳定、易用的特点,受到...
jumpserver 堡垒搭建
04-17
jumpserver 堡垒
堡垒软件有哪些
贺浦力特的博客
04-11 3261
堡垒软件
分享一款开源堡垒-jumpserver
热门推荐
KH_FC的博客
01-07 1万+
JumpServer是由FIT2CLOUD(飞致远)公司旗下一款开源的堡垒,这款也是全球首款开源的堡垒,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统,使用 Python 开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好,同时采纳分布式架构,支持多房跨区域部署以及横向扩展,无资产数量及并发限制。这款开源堡垒不但提供了社区开源版本并且还提供了企业使用的企业版本,企业版功能更加强大。 飞致远官网地址:https:
IT知识百科:什么是云堡垒
网络技术联盟站
08-28 794
堡垒(Bastion Host)是一种位于内部网络和外部网络之间的中间服务器,用于控制和监管对内部服务器的访问。它充当了一座“堡垒”,只允许经过严格认证和授权的用户进行访问,从而确保只有合法用户能够进入内部网络环境。堡垒通过强大的身份认证和授权制,确保只有授权用户才能够访问内部服务器。这可以防止未经授权的访问和恶意攻击。堡垒可以记录所有用户的操作行为,包括登录、命令执行等,以便进行后期审计和监控。这有助于发现异常活动和安全威胁。
python、golang开发堡垒系统
。。
12-15 1072
堡垒系统的关键在于通过网页上连接服务器,因此在此记录下方案。 开始想用python实现后端,用过flask + paramiko + flask-socketio方案,尝试下来发现性能不行,ssh延迟比较大。 后来改成了fastapi + asyncssh,效果还行。 因为公司内用golang多些,最终用Gin框架来实现后端。 rdp协议连接用了Guacamole。 前端用了vue + xterm + socketio
新一代JumpServerv3.0开源堡垒解读-网域网关
qq_40194390的博客
09-25 575
顾名思义,网域网关就是借助一个中间设备,解决JumpServer和目标资产不在同一网段无法直接纳管目标资产的问题,它是一个中间的桥梁,当然,这个中间设备可以是路由、Linux、Windows服务器。JumpServer网域网关的功能设计很巧妙,帮助我们实现了资产统一纳管,实现了资产统一入口访问,从而提高运维管理效率,提升用户使用体验。小伙伴们,赶紧去试一试吧,如果有其他关于JumpServer的问题,欢迎在评论区留言哦!
堡垒的选择与应用 - JumpServer
weixin_45810162的博客
02-16 395
堡垒JumpServer、等保要求
社区分享|JumpServer开源堡垒一直都是我的第一选择
FIT2CLOUD飞致云的博客
06-26 389
对于广大的开源用户来说,堡垒就是JumpServer
什么是堡垒堡垒有何优势?
qq177803623的博客
02-28 1466
什么是堡垒堡垒有何优势?堡垒(Bastion Host)是指一个网络上设置的一台安全服务器,它作为网络安全的第一道防线,可以控制其他服务器和设备的访问权限,保护网络安全不被攻击者侵犯。 什么是堡垒堡垒有何优势?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值