【堡垒机】 jumpserver权限划分以及如何使用

一、简介

1、测试环境由一台服务端对两台客户端进行权限控制。
2、服务端ssh端口为51612，客户端端口为54213。
3、用户组创建三个级别，分别为运维组、工作组、只读组
4、命令别名设置三个级别，分别为ROOT、WORK、RD
5、jumpserver默认管理用户必须使用root，但考虑到安全，创建jieyue进行管理。
6、设置客户端均不能使用root进行远程登录。

二、安装jumpserver3.0

安装步骤请查看我的上一篇博客，这里就不介绍了。

三、设置默认管理用户

1、必须在服务端、客户端上创建jieyue账户，并设置密码

useradd jieyue
echo “123456” | passwd –stdin jieyue

2、设置jieyue使用sudo免密

#执行以下命令，会打开一个文件
visudo
#添加以下语句
jieyue ALL=(ALL) NOPASSWD: ALL
#保存生效。

3、登录jumpserver修改‘默认管理用户’

四、创建用户信息

1、登陆

2、创建用户组 ‘运维组’

3、创建用户‘yunwei1’ 同时指定‘姓名’

请填写申请人的邮箱，创建成功后会把相关信息发到指定邮箱。

五、创建资产信息

1、创建主机

点击添加使主机生效

2、添加主机组 ‘WORK’

六、授权管理信息

1、设置‘sudo’命令，根据需求要创建三个‘命令别名’，‘ROOT、WORK、RD’

设置ROOT权限

设置WORK权限

/bin/whoami, /etc/init.d/ , /bin/cat,/bin/vi,/usr/bin/vim,/bin/ls,/bin/cp, /usr/bin/svn,/usr/bin/git,/bin/rpm,/bin/chgrp,/bin/tar,/usr/bin/scp,/usr/bin/rz, /usr/bin/sz,/bin/ps,/usr/bin/free,/bin/df,/usr/bin/du,/bin/ping,/bin/mv,/bin/kill, /usr/bin/killall,/bin/mount,/bin/umount,/bin/ln,/usr/bin/tail,/bin/find, /sbin/ifconfig,/sbin/route,/sbin/iptables,/bin/netstat,/bin/touch,/usr/bin/zip,/usr/bin/id,/bin/env,/usr/bin/sudo,/usr/sbin/lsof,/bin/mkdir,/usr/bin/pwdx,/usr/bin/systemctl

设置RD权限

2、添加系统用户： ‘yunwei’‘work’ ‘rd’

设置yunwei

设置work

设置rd

把系统用户推送到指定主机

成功

3、添加授权规则，日后新添加的用户直接在这里修改即可。

添加三个不同的规则，方便管理。

添加root规则

添加work规则

添加rd规则

七、客户端连接

1、下载key

2、打开xshell，新建一个会话

连接成功

使用不同的权限可新增一个用户，再把用户添加到授权规则定义的用户组中。