jumpserver配置+公网服务器经过堡垒机管理内网中的服务

目录

一、启动jumpserver堡垒机

二、jumpserver配置邮箱和创建用户 

2.1、基础配置 

2.2、邮箱设置

三、创建普通用户

四、资产管理

4.1、管理用户

对于资产

对于jumpserver

4.2、创建管理用户

4.3、创建资产

五、创建系统用户和资产授权

5.1、创建系统用户

5.2、针对资产和系统用户做绑定

六、jumpserver监控会话 

6.1、web终端功能

6.2、命令行终端功能

七、会话管理

八、实战配置：公网服务器经过堡垒机管理内网中的服务

8.1、给内网服务器配置防火墙

8.2、外网服务器登入jumpserver管理后端服务器 

出现的报错

总结：

---

手动部署jumpserver堡垒机（完整过程+常见错误）_IT.cat的博客-CSDN博客

上篇已经教大家如何部署堡垒机，今天我们重新启动他，并对他进行一些配置，让他可以对我们后端的服务器监控和管理。

一、启动jumpserver堡垒机

1、启动数据库mysql和redis

systemctl start mysqld

systemctl start redis

2、激活python的虚拟环境，然后启动jms核心后台

source /usr/local/jum_venel/bin/activate

/opt/jumpserver/jms start -d

3、启动koko程序

/opt/koko-v2.1.0-linux-amd64/koko -d

4、启动guacamole程序

/etc/init.d/guacd start

5、启动tomcat程序

/opt/tomcat9/bin/startup.sh

6、启动nginx

nginx

二、jumpserver配置邮箱和创建用户 

2.1、基础配置 

点击提交看到“更新成功”就行

2.2、邮箱设置

（注意这里的smtp密码是邮箱授权，不是邮箱密码）

 那么如何获得smtp主机和邮箱授权码呢，比如我使用的是163邮箱，那么登陆163官网，进入设置就能看到

 获得授权码：

 点击新增授权码，按照步骤操作就能获取，填入SMTP密码就行

之后我们可以点击下方测试按钮

 收到下图内容，就是配置没有问题成功了

三、创建普通用户

 点击提交

 这样就完成了。创建完成，他会给我们创建的用户中的邮箱发送信息。

我们可以点击更改我们的密码。

 填写新密码就行。

我们去cat这个用户名登陆验证一下

 登陆成功，我们只要更新一下信息就能使用了。

四、资产管理

这里的资产就是it管理设备，服务器，路由器，交换机等。

这些资产会交给我们的用户去管理，管理用户也有分类

4.1、管理用户

对于资产

Root 超级管理员用户

sudo命令，伪管理员，默认以root身份去执行命令，因此要慎用，我们可以基于sudo命令作更多的权限控制

zhangsan 系统等普通用户，权限很低

对于jumpserver

admin jumpserver管理员用户

cat（刚刚创建的用户） jumpserver普通用户，权限较低

管理用户：管理用户是资产（被控服务器）上的 root，或拥有 NOPASSWD: ALL sudo 权限的用户， JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。

4.2、创建管理用户

然后我们点提交

 会发现资产得到了刷新。配置就成功了。

4.3、创建资产

创建前我们需要准备另外的一台虚拟机，这里我创建了一个主机名为cat，IP为192.168.59.100的主机

 设置如下

 设置好点提交就行

 显示可连接，这样就完成了

五、创建系统用户和资产授权

系统用户是 JumpServer 跳转登录资产时使用的用户，可以理解为登录资产用户，如 web，sa，dba（`ssh web@some-host`），而不是使用某个用户的用户名跳转登录服务器（`ssh xiaoming@some-host`）； 简单来说是用户使用自己的用户名登录 JumpServer，JumpServer 使用系统用户登录资产。 系统用户创建时，如果选择了自动推送，JumpServer 会使用 Ansible 自动推送系统用户到资产中，如果资产（交换机）不支持 Ansible，请手动填写账号密码。

5.1、创建系统用户

 提交就行

 创建完成。

注意：我们创建的系统用户，在被管理的服务器中一定是存在的，没有就创建一个

5.2、针对资产和系统用户做绑定

 确认提交就行。

 这样就绑定完成了。

六、jumpserver监控会话 

6.1、web终端功能

web终端功能是有luna功能提供的。

进入用户页面，可以看到我的资产，就是我可以管理到的资产，点击最右边动作就能进行连接

 我们点击连接

 这样我们就能通过浏览器去进行连接管理服务器。

我们也可以点击命令执行

6.2、命令行终端功能

命令行终端功能是由koko给的

我们先进入一台外网上的服务器

 

 直接输入web1，他就会自动给我们连接到服务器。

七、会话管理

可以在会话管理中查看历史记录和在线记录，也能对在线的人进行监控

 我们点击监控后，就会实时监控我们的操作

我们也能中断这个台服务。

 他还可以监控所执行的命令。

八、实战配置：公网服务器经过堡垒机管理内网中的服务

        上面写了如何部署配置堡垒机对后端服务器进行管理，这里我们来讲如何使用堡垒机，来达到运维人员通过堡垒机操作内网服务器。今天就来说我们是如何实现公网用户通过堡垒机来管理私网内的服务器呢。这里我们准备了三台服务器。

三台虚拟机：
公网服务器：192.168.130.150/24
jumserver堡垒机：192.168.130.151/24   192.168.59.101/24 （两张网卡）
内网服务器：192.168.59.100/24

8.1、给内网服务器配置防火墙

我们给59.100这台主机配置防火墙

iptables -F INPUT    #先清空防火墙规则

iptables -t filter -A INPUT -s 192.168.59.101 -p tcp --dport 22 -j ACCEPT #添加59.101服务器可以与22建立连接

iptables -t filter -A INPUT -p tcp --dport 22 -j REJEC 拒绝其他所有主机的tcp连接22端口

 这时我们拿130.150去ssh内网服务器

就会报错，我们只能通过jumpserver去连接后端服务器了。

8.2、外网服务器登入jumpserver管理后端服务器 

我们进入外网虚拟机（130.150） 去登陆jumpserver，利用jumpserver去进行服务器管理。

 成功连接。。。这种简单的公网通过jumpserver去登陆内网的服务器进行管理操作就完成了。

出现的报错

我们在使用web中断连接内网服务器使可能会出现以下报错

 遇到这种情况不要慌，大部分是因为密码填错了

但是如果确定自己密码是正确的，就检查以下ssh配置文件中的PasswordAuthentication是否为yes

#进入修改配置文件
vim /etc/ssh/sshd_config
#修改配置文件
PasswordAuthentication yes
#重启ssh服务
systemctl restart sshd

再次连接就行了 

总结：

        jumpserver是一款非常强大的软件，可以保证后端服务器的安全，难点主要在部署jumpserver中，后续的配置也比较绕，理清思路就能很快熟练运用。