快速入门
JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。
JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。
JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
1.Jumpserver的搭建
首先创建两台以上的虚拟机
| 虚拟机作用 | 虚拟机IP |
|---|---|
| jumpserver(搭建堡垒机) | 192.168.174.126 |
| client(需要添加的资产) | 192.168.174.127 |
| 端口 | 作用 | 说明 |
|---|---|---|
| 22 | SSH | SSH协议连接服务器 |
| 80,8080 | WEB服务 | 进入网页的端口,可以自行修改 |
| 2222 | jumpserver终端连接端口 | 使用xshell等连接 |
jumpserver的搭建有许多种,在安装部署 - JumpServer 文档官网文档中选择部署方式。
有网络并且网络较好建议一键部署。如果网络不好,建议离线部署。
除了源码部署外,其他的部署完全没有任何难度。
1)平台搭建
这里使用一键搭建进行演示,建议在curl时,添加-s,使得命令执行不容易报错。
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash -s
搭建成功后如下图:
2)基础配置
跑完脚本后,在两台虚拟机需要执行的操作:
systemctl stop firewalld #关闭防火墙systemctl disabled firewalld #关闭防火墙自启setenforce 0 #关闭selinux防火墙sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config#设置selinux永久关闭yum install vim net-tools -y #安装需要使用的工具
3)进入网页
./jmsctl.sh start #启动jumserverhttp://192.168.174.126:80 #通过该ip进入到网页中
输入账号:admin密码:admin。新版本会让你直接修改密码,按照要求修改即可。
登录成功后,出现该界面。即为搭建成功。
4)进入管理终端
jumpserver为了方便我们操作,制作了linux界面的终端,供我们使用。
在搭建堡垒机的服务器里输入以下命令
ssh -p 2222 admin@127.0.0.1#ssh 登录协议#-p 选择登录端口,jumpserver登录端口为2222#admin@127.0.0.1 #终端用户名为admin,IP为本地IP127.0.0.1#登录密码为你jumpserver登录密码
出现该界面即登录成功。jumpserver完整的搭建成功
4.1)给管理终端设置ssh免密登录
我们可以通过配置ssh秘钥来进行免密登录,输入以下命令:
ssh-keygen #生成ssh秘钥,公钥。生成在/root/.ssh/下
cat /root/.ssh/id_rsa.pub #查看公钥#将复制的公钥粘贴到指定位置
再次登录,会发现不再需要密码,就能直接登录。
2.用户管理
虽然我们是运维人员,但是也需要给其他人一些账号,账号根据工位权限也不一样。这个用户是用来登录Jumpserver堡垒机的。
1)创建一个普通用户
用户管理——用户列表——创建
账户除了用户组暂时不用填
认证——密码策略——设置密码
然后提交即可
3.资产管理
可以理解为,将我们的服务器/虚拟机等设备和堡垒机绑定,使得我们可以通过堡垒机监控这些机器,并且从堡垒机进入绑定的机器有监控系统。
1)创建管理用户
我们登录服务器/虚拟机,需要输入账号密码,之后通过工具的保存功能就无需输入账号密码。而我们创建这个管理用户,就是用来登录堡垒机绑定的机器。我们可以使用root账号登录,也可以在linux自己创建用户,然后设置管理用户。
资产管理——系统用户——特权用户——创建
普通用户和特权用户的区别:普通用户不是root管理员账号,而特权用户是。特权用户可以获得虚拟机的一些信息等。
设置名称——选择文件
ssh-keygen -f jumpserver2 #在当前目录下,生成jumpserver2的公钥私钥。
打开xftp,将创建的私钥拉出来
选择文件——选中jumpserver2并且上传——提交
2)创建资产
此时就要开始绑定服务器/虚拟机了。
右键Default——创建节点——进入新创建的节点——创建
注意:虚拟机名不需要和主机名一样,虚拟机名不需要和主机名一样
出现下面界面即创建资产成功(创建成功,但是并没有进行绑定!)
3)绑定资产
设置linux名称——添加用户——设置用户密码——visudo
ssh-copy-id -i jumpserver2.pub jumpserver2@192.168.174.127#复制ssh到jumpserver2@192.168.174.127
此时就绑定成功了,不过需要进行测试。
更新硬件信息没问题的话,测试资产可连接性就大概率没问题。但是如果绑定的是虚拟机可能会非常慢!非常慢!
注意:如果出现无法连接的情况,按照一下操作走:
资产管理——系统用户——特权用户
创建一个新的资产——特权用户填写root用户——提交即可。这次大概率没问题。
这里可连接是 √ 才算成功!!!!!!!
4.权限管理
1)创建普通用户
资产管理——系统用户——普通用户——创建——ssh
创建普通用户,用户名和密码写你虚拟机的。
权限管理——资产授权——创建
2)设置普通用户
打开自动推送
5.管理页面
web终端:
文件管理:
身份认证
6.用户权限
未来企业人会越来越多,部门也越来越多。如果你还是一个一个创建并且分配权限速度就太慢了,可以通过用户组的形式。让创建的用户继承用户组的权限。
1)创建用户
用户管理——用户列表——创建
多创建几个用户,用来分配给用户组。多创建几个系统审计员和用户。
2)创建用户组
用户一栏,多选择几个用户。不要选错了,提交即可。
3)用户权限说明
- 普通用户权限:就是用来操作资产的普通用户,无法查看仪表盘,日志等操作界面。
- 普通用户的界面:普通用户只有一个用户界面。因为前面我们给用户分配了资产,所以这里“我的资产”中有机器。批量命名/web终端/文件管理均可使用。前提是管理员分配了资产。
- 审计员权限:拥有普通用户的权限,并且可以查看日志仪表盘等界面。
- 审计员用户界面:和管理员一样,他们也有两个界面,一个管理界面一个用户界面。
- 管理员权限:拥有堡垒机的全部权限,拥有普通用户和审计员的全部权限。并且可以管理资产。我们第一次登录的admin就是管理员。不做过多展示。
7.配置邮箱信息
前面创建邮箱时,测试账号都是虚拟邮箱,在未来工作中必须要填写正确的邮箱接收消息。
1)开启邮箱设置密码功能
先给红框中的信息填写上!!!!
系统设置——邮件设置——邮件设置——邮件服务器——设置
第一栏和第二栏为固定的,重要的是SMTP密码!
2)配置邮箱
进入到qq邮箱
设置——账户——开启服务——IMAP/SMTP服务
按照提示,开启这项服务
将获取的授权码复制——填写到SMTP密码中!
测试收件人——测试连接,当测试账号接收到邮箱,则配置成功
8.安全设置
1)密码强弱规则
系统设置——安全设置
这个页面的多数功能都有解释,根据企业情况来进行调整。必须要设置的是用户登录限制,让用户设置密码时有要求。
在密码强弱规则中——四个必须,一定要打上!
2)MFA认证
我们每次登录,就是账号+密码,但是也有泄露的可能。我们开启MAF功能,绑定手机,使得每次登录需要一个临时密码。有点类似qq令牌。
系统设置——安全设置——认证
可以选择开启/禁用MFA认证,默认是禁用的。目前先要知道如何全局的开关MAF。这里用普通用户进行演示。
用户管理——用户列表——选择一个普通用户——更新
启动MFA——提交。启动是可选择绑定,强制是必须绑定!!!!
退出管理员账户,登录刚配置的普通账户。
登录成功后——下一步——下一步
这里二维码扫描下载可能比较慢,直接百度/小程序搜索 google authenticator
扫描图中二维码——并且输入6位数字——即可绑定MFA——再次输入账号密码——输入6位数字验证码——即可登录成功。
此时MFA就绑定成功!
账号管理
若有收获,就点个赞吧
0 人点赞
