堡垒机JumpServer-V2.20.2

JumpserverV2.20.2

安装登录

仅需两步快速安装 JumpServer:

准备一台 2核4G (最低)且可以访问互联网的 64 位 Linux 主机;
以 root 用户执行如下命令一键安装 JumpServer。

  1. # curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.20.2/quick_start.sh | bash

堡垒机JumpServer-V2.20.2 - 图1

堡垒机JumpServer-V2.20.2 - 图2

堡垒机JumpServer-V2.20.2 - 图3

堡垒机JumpServer-V2.20.2 - 图4

用户配置

用户、系统用户、特权用户的关系

  • 用户管理里面的用户列表 是用来登录jumpserver平台的用户, 用户需要先登录jumpserver平台, 才能管理或者连接资产
  • 系统用户是JumpServer 登录资产时使用的账号,如 root ssh root@host,而不是使用该用户名登录资产(ssh admin@host) ;
  • 特权用户是资产上已存在的, 并且拥有 高级权限 的系统用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等;
    普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。

堡垒机JumpServer-V2.20.2 - 图5

堡垒机JumpServer-V2.20.2 - 图6

堡垒机JumpServer-V2.20.2 - 图7

特权用户

特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户, 如 root 或 拥有 NOPASSWD: ALL sudo 权限的用户。 JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等。

来到被控制资源节点上创建特权用户”tom”,密码设置为”tom”

  1. [root@host-1 ~]# useradd tom
  2. [root@host-1 ~]# passwd tom
  3. [root@host-1 ~]# vim /etc/sudoers

堡垒机JumpServer-V2.20.2 - 图8

堡垒机JumpServer-V2.20.2 - 图9

堡垒机JumpServer-V2.20.2 - 图10

系统用户

堡垒机JumpServer-V2.20.2 - 图11

堡垒机JumpServer-V2.20.2 - 图12

堡垒机JumpServer-V2.20.2 - 图13

网域列表

网域功能是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。JMS => 网域网关 => 目标资产

堡垒机JumpServer-V2.20.2 - 图14

资产列表

堡垒机JumpServer-V2.20.2 - 图15

堡垒机JumpServer-V2.20.2 - 图16

堡垒机JumpServer-V2.20.2 - 图17

堡垒机JumpServer-V2.20.2 - 图18

堡垒机JumpServer-V2.20.2 - 图19

资产授权

指的是将某些资产(虚拟机资源)赋予某个平台用户。让这个平台用户具有连接这些资产的权限;

堡垒机JumpServer-V2.20.2 - 图20

堡垒机JumpServer-V2.20.2 - 图21

验证测试

web页面

退出admin,使用wangdana用户进行登录。查看是否可正常连接资产

堡垒机JumpServer-V2.20.2 - 图22

堡垒机JumpServer-V2.20.2 - 图23

堡垒机JumpServer-V2.20.2 - 图24

通过 web 终端连接资产

随便找一台虚拟机

  1. 语法: ssh -p 2222 平台用户@堡垒机IP
  2. # ssh -p 2222 wangdana@10.8.165.41

堡垒机JumpServer-V2.20.2 - 图25

堡垒机JumpServer-V2.20.2 - 图26

堡垒机JumpServer-V2.20.2 - 图27

命令过滤

系统用户可以绑定一些命令过滤器,一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产,然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配,高优先级先被匹配, 当一个规则匹配到了,如果规则的动作是允许,这个命令会被放行, 如果规则的动作是禁止,命令将会被禁止执行, 否则就匹配下一个规则,如果最后没有匹配到规则,则允许执行

堡垒机JumpServer-V2.20.2 - 图28

堡垒机JumpServer-V2.20.2 - 图29

将系统用户与命令过滤器绑定成功

切换为”wangdana”平台用户,用james登录host-1进行测试:

堡垒机JumpServer-V2.20.2 - 图30

回放功能

点着找一找

二进制部署

部署准备

堡垒机JumpServer-V2.20.2 - 图31

  1. #部署脚本
  2. 链接:https://pan.baidu.com/s/1qeLFg-d8-K4rKbAeKKywKQ 
  3. 提取码:cbc0 
  6. 后续执行脚本可能第一步出现download失败jumpserver-installer-v2.23.1.tar.gz
  7. #下载jumpserver-installer-v2.23.1.tar.gz
  8. 链接:https://pan.baidu.com/s/1XVwsO98KDWQEGuU5NyTTWQ 
  9. 提取码:3zl2 
  11. 说明:将jumpserver-installer-v2.23.1.tar.gz解压到/opt下。执行脚本(脚本上传至服务器哪个目录,都可直接运行)
  13. #内核版本修改
  14. https://blog.csdn.net/alwaysbefine/article/details/108931626

部署

1、执行脚本及处理报错

上传脚本

赋予权限并执行

  1. chmod +x ./quick_start.sh
  2. bash ./quick_start.sh

download失败可单独上传上述tar.gz解压到/opt下再执行脚本

  1. tar xf jumpserver-installer-v2.23.1.tar.gz -C /opt

再次执行sh脚本,正常(因为jumpserver-installer-v2.23.1已存在,脚本会跳过执行download)

堡垒机JumpServer-V2.20.2 - 图32

2、更改内核

查看内核版本

  1. [root@jumpserver opt]# cat /proc/version 
  2. Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017
  5. 发现为3.10,不符合环境要求,趁部署jumpserver,更改内核版本
  6. https://blog.csdn.net/alwaysbefine/article/details/108931626

配置好后记得重启

!!!等jumpserver部署好后再重启!!!

3、安装完成后

一路n或者回车堡垒机JumpServer-V2.20.2 - 图33

安装完成后配置文件 /opt/jumpserver/config/config.txt

  1. cd /opt/jumpserver-installer-v2.23.1
  3. # 启动
  4. ./jmsctl.sh start
  6. # 停止
  7. ./jmsctl.sh down
  9. # 卸载
  10. ./jmsctl.sh uninstall
  12. # 帮助
  13. ./jmsctl.sh -h

登录

默认用户名/密码:admin/admin

堡垒机JumpServer-V2.20.2 - 图34修改密码堡垒机JumpServer-V2.20.2 - 图35重新登录堡垒机JumpServer-V2.20.2 - 图36登录界面堡垒机JumpServer-V2.20.2 - 图37

更多文档帮助

需要开翻墙

https://docs.jumpserver.org/zh/master/

Jumpserver忘记管理员admin密码

堡垒机JumpServer-V2.20.2 - 图38

  1. [root@jumpserver ~]# docker exec -it jms_core /bin/bash
  2. root@98567733dfb2:/opt/jumpserver# cd apps/
  3. root@98567733dfb2:/opt/jumpserver/apps# python manage.py changepassword admin

堡垒机JumpServer-V2.20.2 - 图39

再次登录