jumpserver安装部署
Jumpserver是一款开源的堡垒机,可使系统的管理员和开发人员安全的连接到企业内部服务器上执行操作,并且支持大部分操作系统,是一款非常安全的远程连接工具
官方网站: jumpserver.org
Jumpserver优势
开源:零门槛,线上快速获取和安装
无插件:仅需浏览器,极致Web Terminal使用体验
多云支持:一套系统,同时管理不同云上资产
分布式:轻松支持大规模并发访问
云端存储:审计录像存放在云端,永不丢失
多租户:一套系统,多个子公司和部门同时使用
安全审计4A规范
身份验证/Authentication: 防止身份冒用和复用
授权控制/Authorization: 防止内部误操作和权限滥用
账号管理/Accounting: 人员和资产的管理
安全审计/Auditing: 追溯的保障和事故分析的依据
常见支持的系统
CentOS, RedHat, Fedora, Amazon LinuxDebianSUSE, UbuntuFreeBSD其他ssh协议硬件设备
主机清单
主机名称 | IP地址 | 最低配置 | 角色 |
Jumpserver(ecs-proxy) | 192.168.1.252 | 2CPU/4G内存 | 堡垒机 |
Web1 | 192.168.1.11 | 2CPU/4G内存 | 资产 |
安装部署
# 在跳板机1.252安装jumpserver
[root@ecs-proxy ~]# echo jumpserver > /etc/hostname
[root@ecs-proxy ~]# hostname jumpserver # 退出重新登录
[root@ecs-proxy ~]# exit
[root@jumpserver jumpserver]# vim /etc/yum.repos.d/local.repo
[local]
name=local
baseurl=ftp://192.168.1.252/localrepo/
enabled=1
gpgcheck=0
[root@jumpserver ~]# cd /root/5/project3/jumpserver/
[root@jumpserver jumpserver]# yum -y install docker-ce
[root@jumpserver jumpserver]# systemctl enable docker --now
[root@jumpserver jumpserver]# tar -xf jumpserver-offline-installer-v2.19.2-amd64-135.tar.gz
[root@jumpserver jumpserver]# mv jumpserver-offline-installer-v2.19.2-amd64-135
/usr/local/jumpserver
[root@jumpserver jumpserver]# cd /usr/local/jumpserver/
[root@jumpserver jumpserver]# ./jmsctl.sh install # 一路回车就可以了
... ...
5. 更多信息
我们的官网: https://www.jumpserver.org/
我们的文档: https://docs.jumpserver.org/
[root@jumpserver jumpserver]# ./jmsctl.sh start # 启动jumpserver
jms_redis is up-to-date
jms_mysql is up-to-date
Creating jms_core ... done
Creating jms_lion ... done
Creating jms_web ... done
Creating jms_celery ... done
Creating jms_koko ... Done
[root@jumpserver jumpserver]# ./jmsctl.sh status # 查看状态
Name Command State Ports
-------------------------------------------------------------------------------------------------------------
jms_celery ./entrypoint.sh start task Up (healthy) 8070/tcp, 8080/tcp
jms_core ./entrypoint.sh start web Up (healthy) 8070/tcp, 8080/tcp
jms_koko ./entrypoint.sh Up (healthy) 0.0.0.0:2222->2222/tcp,:::2222->2222/tcp,
5000/tcp
jms_lion ./entrypoint.sh Up (healthy) 4822/tcp
jms_mysql docker-entrypoint.sh --cha ... Up (healthy) 3306/tcp, 33060/tcp
jms_redis docker-entrypoint.sh redis ... Up (healthy) 6379/tcp
jms_web /docker-entrypoint.sh ngin ... Up (healthy) 0.0.0.0:80->80/tcp,:::80->80/tcp
1. Jumpserver使用
访问jumpserver
没有公网IP需要购买,并进行绑定才能正常访问
http://218.245.100.75
访问页面如下:用户名admin,密码admin登录,会让修改密码,使用登录即可
2. Jumpserver配置用户
在jumpserver里面两种用户
用户管理里面的用户: 这个用户只堡垒机账号,就是你能用这个账号登录web页面,登录跳板机服务器的用户
资产管理里面的系统用户:
它又分为 特权用户 和普通用户
特权用户: 是资产已存在的,并且拥有高级权限的系统用户,如root用户,jumpserver使用该用户来推送系统用户、获取资产硬件信息等
普通用户:是jumpserver登录资产时使用的账号,普通用户可以在资产上预先存在,也可以由特权用户来自动创建
# 创建登录jumpserver的用户tedu:
用户创建好之后,需要使用这个用户进行资产的管理,但是我们还没有资产
在华为云上面模拟创建一台web机器,当作web集群(不用配置web集群),只需要把机器创建出来即可,模拟用户管理资产
找到资产管理,点击管理用户
# 系统用户中的特权用户是资产(被控服务器)上的root,或拥有NOPASSWD:ALL sudo 权限的用户,jumpserver使用该用户来推送系统用户、获取资产硬件信息等
创建系统用户-特权用户
系统用户中的普通用户是JumpServer跳转登录资产时使用的用户,可以理解为登录资产用户,创建普通用户web,使用密码登录,自动推送选择所有权限ALL
系统用户创建完成之后,还没有资产,现在需要添加资产(此资产就是后面需要使用jumpserver管理的集群机器,如web,数据库集群等)
其结果可能是圈圈解决方法:
- 找到资产的主机名如web1,点击进去-->账户列表-->,快速更新,测试-->系统用户中的测试,之后是快速更新中的测试,推送-->资产详情中点击刷新,测试,激活按钮重新开一下
- 点击资产管理,测试
其结果可能是x解决方法:
- 点击资产管理-系统用户-特权用户,重新更新root密码(记得去web1主机测试root密码是什么)
2找到资产的主机名如web1,点击进去-->账户列表-->,快速更新,测试-->系统用户中的测试,之后是快速更新中的测试,推送-->资产详情中点击刷新,测试,激活按钮重新开一下
- 点击资产管理,测试
如果有其他机器需要添加,可以点击保存并继续添加
提交结果如下:
测试
# 此时退出admin管理用户,使用tedu用户登录,测试web用户的资产
右上角点击web终端,可以正常登录资产,使用sudo -s切换到root用户,也可以使用sudo提权执行命令
如果jumpserver有多个用户,并且授权不同的用户管理不同的资产,此时每个用户只能看到自己的资产,别人的资产是看不到的
把下列表格中的机器添加到jumpserver中,使用k8s用户登录jumpserver,可以看到表格中相关的资产,并使用系统用户k8s可以登录资产
主机名 | IP地址 | 角色 | 规格 |
harbor | 192.168.1.100 | 私有镜像仓库 | 2CPU/4G内存 |
test | 192.168.1.101 | 测试 | 2CPU/4G内存 |
配置和上面步骤一致,这里不再重复编写
注意:在配置特权用户时,名称具有唯一性
配置完成后,jumpserver连接k8s用户,可以看到资产,此时也可以在jumpserver主机通过命令行连接
登录jumpserver堡垒机的账号, JumpServer 开源堡垒机
1) 输入 部分IP,主机名,备注 进行搜索登录(如果唯一).
2) 输入 / + IP,主机名,备注 进行搜索,如:/192.168.
3) 输入 p 进行显示您有权限的主机.
4) 输入 g 进行显示您有权限的节点.
5) 输入 d 进行显示您有权限的数据库.
6) 输入 k 进行显示您有权限的Kubernetes.
7) 输入 r 进行刷新最新的机器和节点信息.
8) 输入 s 进行中英语言切换.
9) 输入 h 进行显示帮助.
10) 输入 q 进行退出.
Opt> p
ID | 主机名 | IP | 备注
+-------+----------------------------------------------+----------------------+------------+
1 | harbor | 192.168.1.100 |
2 | test | 192.168.1.101 |
页码:1,每页行数:25,总页数:1,总数量:2
提示:输入资产ID直接登录,二级搜索使用 // + 字段,如://192 上一页:b 下一页:n
搜索:
[Host]> 1
复用SSH连接(普通用户@192.168.1.100)[连接数量: 1]
Last login: Tue Jun 27 17:58:04 2023 from 192.168.1.252
Welcome to Huawei Cloud Service
[k8s@harbor ~]$ sudo -s
[root@harbor k8s]#