JumpServer堡垒机

JumpServer堡垒机

堡垒机介绍

下图来自百度百科

堡垒机产生的原因

• 多个用户使用同一个账号：如果发生安全事故，不仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制

• 一个用户使用多个账号：用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。

• 运维人员的权限管理困难：企事业单位中，涉及到多个系统、多个网络设备，每个系统和设备都有不同的权限管理方式，需要运维人员记忆和管理大量的账号和密码。这不仅容易出现账号泄露和密码被猜测的情况，而且权限管理也容易出现漏洞。

• 难以进行操作审计和追溯：在传统的运维模式下，很难对运维人员的操作行为进行全面审计和追溯，无法确定某个具体账号在某个时间点做了什么操作

堡垒机主要功能

• 账号管理：可以管理用户账号，包括创建、修改、删除账号等操作，确保只有授权的用户可以登录堡垒机。
• 身份管理：可以对用户进行身份认证，验证其身份信息，确保只有合法用户可以访问受保护的资源。
• 资源授权：可以对用户授权，确定用户可以访问的资源和操作权限，确保用户只能访问其权限范围内的资源。
• 访问控制：可以对用户的访问进行控制，通过权限设置和访问策略，限制用户的访问范围，防止未经授权的访问。
• 操作审计：可以记录和审计用户的操作行为，包括登录、命令执行等，以便进行安全审计和追溯，发现安全问题并进行处理

Jumpserver安装与配置

Jumpserver官方文档离线安装

Jumpserver官方下载地址

(1)修改主机名

[root@localhost ~]# hostnamectl set-hostname jumpserver
[root@localhost ~]# bash
[root@jumpserver ~]# =

(2)下载软件包

[root@jumpserver ~]# ls
anaconda-ks.cfg  jumpserver-offline-installer-v3.5.0-amd64.tar.gz

(3)解压到/opt/目录下

[root@jumpserver ~]# tar -zxvf jumpserver-offline-installer-v3.5.0-amd64.tar.gz -C /opt/
[root@jumpserver ~]# cd /opt/
[root@jumpserver opt]# ls
jumpserver-offline-installer-v3.5.0-amd64
[root@jumpserver opt]# ln -s jumpserver-offline-installer-v3.5.0-amd64/ jumpserver
[root@jumpserver opt]# cd jumpserver

(4)执行安装脚本

[root@jumpserver jumpserver]# ./jmsctl.sh install


       ██╗██╗   ██╗███╗   ███╗██████╗ ███████╗███████╗██████╗ ██╗   ██╗███████╗██████╗
       ██║██║   ██║████╗ ████║██╔══██╗██╔════╝██╔════╝██╔══██╗██║   ██║██╔════╝██╔══██╗
       ██║██║   ██║██╔████╔██║██████╔╝███████╗█████╗  ██████╔╝██║   ██║█████╗  ██████╔╝
  ██   ██║██║   ██║██║╚██╔╝██║██╔═══╝ ╚════██║██╔══╝  ██╔══██╗╚██╗ ██╔╝██╔══╝  ██╔══██╗
  ╚█████╔╝╚██████╔╝██║ ╚═╝ ██║██║     ███████║███████╗██║  ██║ ╚████╔╝ ███████╗██║  ██║
   ╚════╝  ╚═════╝ ╚═╝     ╚═╝╚═╝     ╚══════╝╚══════╝╚═╝  ╚═╝  ╚═══╝  ╚══════╝╚═╝  ╚═╝

                                                                   Version:  v3.5.0  

1. 检查配置文件
配置文件位置: /opt/jumpserver/config
/opt/jumpserver/config/config.txt        [ √ ]
/opt/jumpserver/config/nginx/cert/server.crt     [ √ ]
/opt/jumpserver/config/nginx/cert/server.key     [ √ ]
完成

>>> 安装配置 Docker
1. 安装 Docker
完成

2. 配置 Docker
是否需要支持 IPv6? (y/n)  (默认为 n): 
完成

3. 启动 Docker
Created symlink from /etc/systemd/system/multi-user.target.wants/docker.service to /etc/systemd/system/docker.service.
完成

>>> 加载 Docker 镜像
jumpserver/redis:6.2 <= images/redis:6.2.tar 
jumpserver/mariadb:10.6 <= images/mariadb:10.6.tar 
jumpserver/core:v3.5.0 <= images/core:v3.5.0.tar 
jumpserver/koko:v3.5.0 <= images/koko:v3.5.0.tar 
jumpserver/lion:v3.5.0 <= images/lion:v3.5.0.tar 
jumpserver/magnus:v3.5.0 <= images/magnus:v3.5.0.tar 
jumpserver/chen:v3.5.0 <= images/chen:v3.5.0.tar 
jumpserver/kael:v3.5.0 <= images/kael:v3.5.0.tar 
jumpserver/web:v3.5.0 <= images/web:v3.5.0.tar 
完成

>>> 安装配置 JumpServer
1. 配置加密密钥
SECRETE_KEY:     OTk5MDRkNTYtNzU4Mi03M2I2LTYxOWQtNzhkNzdkYTI5Zjdj
BOOTSTRAP_TOKEN: OTk5MDRkNTYtNzU4Mi03M2I2
完成

2. 配置持久化目录
是否需要自定义持久化存储, 默认将使用目录 /data/jumpserver? (y/n)  (默认为 n): 
完成

3. 配置 MySQL
是否使用外部 MySQL? (y/n)  (默认为 n): 
完成

4. 配置 Redis
是否使用外部 Redis? (y/n)  (默认为 n): 
完成

5. 配置对外端口
是否需要配置 JumpServer 对外访问端口? (y/n)  (默认为 n): y
JumpServer web 端口 (默认为 80): 
JumpServer ssh 端口 (默认为 2222): 
完成

6. 初始化数据库
....
....（省略）....
....
完成

>>> 安装完成了
1. 可以使用如下命令启动, 然后访问
cd /opt/jumpserver
./jmsctl.sh start

2. 其它一些管理命令
./jmsctl.sh stop
./jmsctl.sh restart
./jmsctl.sh backup
./jmsctl.sh upgrade
更多还有一些命令, 你可以 ./jmsctl.sh --help 来了解

3. Web 访问
http://192.168.200.10:80
默认用户: admin  默认密码: admin

4. SSH/SFTP 访问
ssh -p2222 [email protected]
sftp -P2222 [email protected]

5. 更多信息
我们的官网: https://www.jumpserver.org/
我们的文档: https://docs.jumpserver.org/


[root@jumpserver jumpserver]# 

(5)启动jumpserver

[root@jumpserver jumpserver]# ./jmsctl.sh start

(6)Web 访问
http://192.168.200.10:80
默认用户: admin 默认密码: admin

登录时需要重新设置密码，设置成功后再次登录

Jumpserver Web界面

用户管理

如果你要创建一个账号怎么创建呢？

点击用户管理→用户列表→创建

如何创建用户组？

点击用户管理→用户组(默认是有个Default用户组)→创建

如何登录创建的用户呢？

点击右上角Administrator退出登录

输入刚刚创建的用户名和密码

点击完登录之后会弹出一个修改密码，这个是设置下次登录时的密码

然后再次登录

登录成功

资产管理

添加Linux主机

我们先创建一台Linux虚拟机待会创建资产需要用到

IP：192.168.200.20

怎么添加主机资产呢？

点击资产管→资产列表→主机→创建

选择Linux，填写刚刚创建的Linux主机信息

点击提交，成功创建了资产

如何添加账号呢？

点击账号管理→账号列表→添加

点击提交，创建成功

如何资产授权呢？

点击权限管理→资产授权→创建

点击提交

登录账号李四账号查看资产

点击左栏我的资产

如何使用资产？

点击左栏Web终端

连接你会发现这么多水印！！！是不是非常影响操作呢，我们可以去除水印

登录到系统用户，点击系统设置

设置完成点击提交

再次登录李四账户，进入Linux主机

如何在授权的Linux主机中上传文件呢？

点击Linux主机→Web SFTP→连接

进入之后点击鼠标右键，可以看到上传文件，点击上传文件

可以按照需求上传

这个就是我们上传的文件

默认上传在/tmp目录下

命令过来规则创建

如何添加命令过滤呢？

点击权限管理→命令过滤→命令组→创建

点击提交

创建命令过滤

点击权限管理→命令过滤→创建

提交

登录李四账号测试是否能使用这些禁用的命令

审计台操作说明

如何进入审计台？

进入之后就可以看到仪表盘记录了登录数，危险命令数等等

查看当前在线的会话

会话审计

也可以查看用户操作命令的录屏

点击会话审计→历史会话→选择想要进行回放的视频，也可以下载到本地

命令记录查看

点击会话审计命令记录，可以查看用户敲了哪些命令

以及文件传输

日志审计

登录日志查询

操作日志查询

改密日志查询

作业日志查询

工作台操作说明

工作台大部分就是使用资产的地方，可以查看当前资产，以及Web终端连接，快捷命令等等

邮箱配置

这里使用QQ邮箱配置

(1)首先登录QQ邮箱

(2)点击设置

(3)点击账户

(4)下滑找到POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务

开启服务，在开启的过程中会生成授权码这个要用记事本记录下来待会要用

(5)Jumpserver Web界面设置

点击系统设置

点击左栏的邮件设置

都设置完之后点击测试连接

回到控制台→用户管理→用户列表→创建

这个时候点击设置密码

如果无法访问将前面的127.0.0.1改成192.168.200.10就能访问了

然后修改密码，修改成功后会返回一封邮件提示