Jumpserver 堡垒机

新版本JumpServer需要升级内核。
升级内核参考链接:https://blog.csdn.net/alwaysbefine/article/details/108931626

Jumpserver 是全球首款完全开源的堡垒机,使用GNU GPL v2.0开源协议,是符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)的专业运维审计系统。Jumpserver 使用Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。 Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。

GitHub: https://github.com/jumpserver/jumpserver

Jumpserver使用

官网:https://github.com/jumpserver/jumpserver/releases

仅需两步快速部署Jumpserver

  1. 准备一台 2核4G (最低)且可以访问互联网的 64 位 Centos 7 主机;
  2. 以 root 用户执行如下命令一键安装 JumpServer。
  1. 安装v2.1.0版本
  2. [root@jumpserver ~]# curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.1.0/quick_start.sh | sh
  3. 安装过程较慢,需要下载很多组件,耐心等待。。。。
  1. 安装v2.5.2版本
  2. [root@jumpserver ~]# curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.5.2/quick_start.sh | sh
  3. 安装过程较慢,需要下载很多组件,耐心等待。。。。

如需安装最新版本,可以去github公有仓库上去访问

image.png

image.png

image.png

可以看到有安装指令,这是一个自动安装的脚本,我们也可以手动分布安装,了解一下安装过程。

当然,脚本我们也可以自己编写。

image.png

  1. [root@jumpserver jumpserver-installer-v2.23.1]# pwd
  2. /opt/jumpserver-installer-v2.23.1
  3. [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh start  
  4. [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh stop
  5. [root@jumpserver jumpserver-installer-v2.23.1]# ./jmsctl.sh restart

image.png

image.png

image.png

用户配置

系统用户、特权用户、普通用户的关系
  • 系统用户 是JumpServer 登录资产时使用的账号,如 root ssh root@host,而不是使用该用户名登录资产(ssh admin@host) )
  • 特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等;
  • 普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。

用户组

image.png

image.png

用户列表

image.png

image.png

网域列表

image.png

image.png

资产列表

image.png

image.png

image.png

稍后创建

特权用户
  1. 注释:
  2. 特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户,  root  拥有 `NOPASSWD: ALL` sudo 权限的用户。 JumpServer 使用该用户来 `推送系统用户``获取资产硬件信息` 等。
  1. 来到zabbix-proxy主机上操作
  2. [root@zabbix-server ~]# useradd tom
  3. [root@zabbix-server ~]# passwd tom  //将密码设置为tom
  4. [root@zabbix-server ~]# vi /etc/sudoers

image.png

  1. 测试提权是否成功
  2. [root@zabbix-server~]# su - tom
  3. [tom@zabbix-server ~]$ sudo useradd user01   //如果创建成功,说明提权成功,再进行一下操作

image.png

image.png

image.png

系统用户

image.png

image.png

image.png

资产列表

image.png

image.png

创建完成,进行验证主机是否可连接

image.png

资产授权

image.png

image.png

image.png

测试
  1. 一、退出admin管理员用户,使用shiyufei普通用户登录Jumpserver堡垒机平台
  3. 二、查看自己对所分配的资产有无连接权限

image.png

image.png

image.png

image.png

可以看到,可以连接,并且可以操作。

image.png

这样就测试成功了。公司都是这样用的

还有另外一种连接方式

随便找一台虚拟机

  1. ssh -p +2222端口  + jumpserver的普通用户@jumpserverip 密码是jumpserver的普通用户的密码
  2. 普通用户指的是Jumpserver平台用户
  3. [root@zabbix-server ~]# ssh -p 2222 baoshijie@192.168.91.140

image.png

连进去是这样的

image.png

按p查看有权限的主机,然后输入他的id 就能连接上 然后可以进行增删改查

image.png

历史操作命令在jumpserver上都能看见 也可以看到

image.png

image.png

配置命令规则

image.png

image.png

image.png

image.png

image.png

image.png