JumpServer堡垒机

文章目录

  • JumpServer堡垒机
    • 堡垒机介绍
      • 堡垒机产生的原因
      • 堡垒机主要功能
    • Jumpserver安装与配置
    • Jumpserver Web界面
      • 用户管理
      • 资产管理
        • 添加Linux主机
      • 命令过来规则创建
      • 审计台操作说明
        • 会话审计
        • 日志审计
      • 工作台操作说明
      • 邮箱配置

JumpServer堡垒机

堡垒机介绍

下图来自百度百科

JumpServer堡垒机_第1张图片

堡垒机产生的原因

  • 多个用户使用同一个账号:如果发生安全事故,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制

  • 一个用户使用多个账号:用户需要记忆多套口令同时在多套主机系统、网络设备之间切换,降低工作效率,增加工作复杂度。

  • 运维人员的权限管理困难:企事业单位中,涉及到多个系统、多个网络设备,每个系统和设备都有不同的权限管理方式,需要运维人员记忆和管理大量的账号和密码。这不仅容易出现账号泄露和密码被猜测的情况,而且权限管理也容易出现漏洞。

  • 难以进行操作审计和追溯:在传统的运维模式下,很难对运维人员的操作行为进行全面审计和追溯,无法确定某个具体账号在某个时间点做了什么操作

堡垒机主要功能

  • 账号管理:可以管理用户账号,包括创建、修改、删除账号等操作,确保只有授权的用户可以登录堡垒机。
  • 身份管理:可以对用户进行身份认证,验证其身份信息,确保只有合法用户可以访问受保护的资源。
  • 资源授权:可以对用户授权,确定用户可以访问的资源和操作权限,确保用户只能访问其权限范围内的资源。
  • 访问控制:可以对用户的访问进行控制,通过权限设置和访问策略,限制用户的访问范围,防止未经授权的访问。
  • 操作审计:可以记录和审计用户的操作行为,包括登录、命令执行等,以便进行安全审计和追溯,发现安全问题并进行处理

Jumpserver安装与配置

Jumpserver官方文档离线安装

Jumpserver官方下载地址

(1)修改主机名

[root@localhost ~]# hostnamectl set-hostname jumpserver
[root@localhost ~]# bash
[root@jumpserver ~]# =

(2)下载软件包

[root@jumpserver ~]# ls
anaconda-ks.cfg  jumpserver-offline-installer-v3.5.0-amd64.tar.gz

(3)解压到/opt/目录下

[root@jumpserver ~]# tar -zxvf jumpserver-offline-installer-v3.5.0-amd64.tar.gz -C /opt/
[root@jumpserver ~]# cd /opt/
[root@jumpserver opt]# ls
jumpserver-offline-installer-v3.5.0-amd64
[root@jumpserver opt]# ln -s jumpserver-offline-installer-v3.5.0-amd64/ jumpserver
[root@jumpserver opt]# cd jumpserver

(4)执行安装脚本

[root@jumpserver jumpserver]# ./jmsctl.sh install


       ██╗██╗   ██╗███╗   ███╗██████╗ ███████╗███████╗██████╗ ██╗   ██╗███████╗██████╗
       ██║██║   ██║████╗ ████║██╔══██╗██╔════╝██╔════╝██╔══██╗██║   ██║██╔════╝██╔══██╗
       ██║██║   ██║██╔████╔██║██████╔╝███████╗█████╗  ██████╔╝██║   ██║█████╗  ██████╔╝
  ██   ██║██║   ██║██║╚██╔╝██║██╔═══╝ ╚════██║██╔══╝  ██╔══██╗╚██╗ ██╔╝██╔══╝  ██╔══██╗
  ╚█████╔╝╚██████╔╝██║ ╚═╝ ██║██║     ███████║███████╗██║  ██║ ╚████╔╝ ███████╗██║  ██║
   ╚════╝  ╚═════╝ ╚═╝     ╚═╝╚═╝     ╚══════╝╚══════╝╚═╝  ╚═╝  ╚═══╝  ╚══════╝╚═╝  ╚═╝

                                                                   Version:  v3.5.0  

1. 检查配置文件
配置文件位置: /opt/jumpserver/config
/opt/jumpserver/config/config.txt        []
/opt/jumpserver/config/nginx/cert/server.crt     []
/opt/jumpserver/config/nginx/cert/server.key     []
完成

>>> 安装配置 Docker
1. 安装 Docker
完成

2. 配置 Docker
是否需要支持 IPv6? (y/n)  (默认为 n): 
完成

3. 启动 Docker
Created symlink from /etc/systemd/system/multi-user.target.wants/docker.service to /etc/systemd/system/docker.service.
完成

>>> 加载 Docker 镜像
jumpserver/redis:6.2 <= images/redis:6.2.tar 
jumpserver/mariadb:10.6 <= images/mariadb:10.6.tar 
jumpserver/core:v3.5.0 <= images/core:v3.5.0.tar 
jumpserver/koko:v3.5.0 <= images/koko:v3.5.0.tar 
jumpserver/lion:v3.5.0 <= images/lion:v3.5.0.tar 
jumpserver/magnus:v3.5.0 <= images/magnus:v3.5.0.tar 
jumpserver/chen:v3.5.0 <= images/chen:v3.5.0.tar 
jumpserver/kael:v3.5.0 <= images/kael:v3.5.0.tar 
jumpserver/web:v3.5.0 <= images/web:v3.5.0.tar 
完成

>>> 安装配置 JumpServer
1. 配置加密密钥
SECRETE_KEY:     OTk5MDRkNTYtNzU4Mi03M2I2LTYxOWQtNzhkNzdkYTI5Zjdj
BOOTSTRAP_TOKEN: OTk5MDRkNTYtNzU4Mi03M2I2
完成

2. 配置持久化目录
是否需要自定义持久化存储, 默认将使用目录 /data/jumpserver? (y/n)  (默认为 n): 
完成

3. 配置 MySQL
是否使用外部 MySQL? (y/n)  (默认为 n): 
完成

4. 配置 Redis
是否使用外部 Redis? (y/n)  (默认为 n): 
完成

5. 配置对外端口
是否需要配置 JumpServer 对外访问端口? (y/n)  (默认为 n): y
JumpServer web 端口 (默认为 80): 
JumpServer ssh 端口 (默认为 2222): 
完成

6. 初始化数据库
....
....(省略)....
....
完成

>>> 安装完成了
1. 可以使用如下命令启动, 然后访问
cd /opt/jumpserver
./jmsctl.sh start

2. 其它一些管理命令
./jmsctl.sh stop
./jmsctl.sh restart
./jmsctl.sh backup
./jmsctl.sh upgrade
更多还有一些命令, 你可以 ./jmsctl.sh --help 来了解

3. Web 访问
http://192.168.200.10:80
默认用户: admin  默认密码: admin

4. SSH/SFTP 访问
ssh -p2222 [email protected]
sftp -P2222 [email protected]

5. 更多信息
我们的官网: https://www.jumpserver.org/
我们的文档: https://docs.jumpserver.org/


[root@jumpserver jumpserver]# 

(5)启动jumpserver

[root@jumpserver jumpserver]# ./jmsctl.sh start

(6)Web 访问
http://192.168.200.10:80
默认用户: admin 默认密码: admin

JumpServer堡垒机_第2张图片

登录时需要重新设置密码,设置成功后再次登录

JumpServer堡垒机_第3张图片

Jumpserver Web界面

用户管理

如果你要创建一个账号怎么创建呢?

点击用户管理→用户列表→创建

JumpServer堡垒机_第4张图片

JumpServer堡垒机_第5张图片

如何创建用户组?

点击用户管理→用户组(默认是有个Default用户组)→创建

JumpServer堡垒机_第6张图片

JumpServer堡垒机_第7张图片

如何登录创建的用户呢?

点击右上角Administrator退出登录

JumpServer堡垒机_第8张图片

输入刚刚创建的用户名和密码

JumpServer堡垒机_第9张图片

点击完登录之后会弹出一个修改密码,这个是设置下次登录时的密码

然后再次登录

JumpServer堡垒机_第10张图片

登录成功

JumpServer堡垒机_第11张图片

资产管理

添加Linux主机

我们先创建一台Linux虚拟机待会创建资产需要用到

JumpServer堡垒机_第12张图片

IP:192.168.200.20

怎么添加主机资产呢?

点击资产管→资产列表→主机→创建

JumpServer堡垒机_第13张图片

选择Linux,填写刚刚创建的Linux主机信息

JumpServer堡垒机_第14张图片

点击提交,成功创建了资产

image-20230725211310047

如何添加账号呢?

点击账号管理→账号列表→添加

JumpServer堡垒机_第15张图片

点击提交,创建成功

JumpServer堡垒机_第16张图片

如何资产授权呢?

点击权限管理→资产授权→创建

JumpServer堡垒机_第17张图片

点击提交

登录账号李四账号查看资产

点击左栏我的资产

JumpServer堡垒机_第18张图片

如何使用资产?

点击左栏Web终端

JumpServer堡垒机_第19张图片

JumpServer堡垒机_第20张图片

连接你会发现这么多水印!!!是不是非常影响操作呢,我们可以去除水印

登录到系统用户,点击系统设置

JumpServer堡垒机_第21张图片

设置完成点击提交

JumpServer堡垒机_第22张图片

再次登录李四账户,进入Linux主机

JumpServer堡垒机_第23张图片

如何在授权的Linux主机中上传文件呢?

点击Linux主机→Web SFTP→连接

JumpServer堡垒机_第24张图片

进入之后点击鼠标右键,可以看到上传文件,点击上传文件

JumpServer堡垒机_第25张图片

可以按照需求上传

JumpServer堡垒机_第26张图片

这个就是我们上传的文件

JumpServer堡垒机_第27张图片

默认上传在/tmp目录下

JumpServer堡垒机_第28张图片

命令过来规则创建

如何添加命令过滤呢?

点击权限管理→命令过滤→命令组→创建

点击提交

JumpServer堡垒机_第29张图片

image-20230725221525307

创建命令过滤

点击权限管理→命令过滤→创建

提交

JumpServer堡垒机_第30张图片

登录李四账号测试是否能使用这些禁用的命令

JumpServer堡垒机_第31张图片

审计台操作说明

如何进入审计台?

JumpServer堡垒机_第32张图片

进入之后就可以看到仪表盘记录了登录数,危险命令数等等

JumpServer堡垒机_第33张图片

查看当前在线的会话

JumpServer堡垒机_第34张图片

会话审计

也可以查看用户操作命令的录屏

点击会话审计→历史会话→选择想要进行回放的视频,也可以下载到本地

JumpServer堡垒机_第35张图片

JumpServer堡垒机_第36张图片

命令记录查看

点击会话审计命令记录,可以查看用户敲了哪些命令

JumpServer堡垒机_第37张图片

以及文件传输

JumpServer堡垒机_第38张图片

日志审计

登录日志查询

JumpServer堡垒机_第39张图片

操作日志查询

JumpServer堡垒机_第40张图片

改密日志查询

JumpServer堡垒机_第41张图片

作业日志查询

JumpServer堡垒机_第42张图片

工作台操作说明

工作台大部分就是使用资产的地方,可以查看当前资产,以及Web终端连接,快捷命令等等

JumpServer堡垒机_第43张图片

邮箱配置

这里使用QQ邮箱配置

(1)首先登录QQ邮箱

(2)点击设置

JumpServer堡垒机_第44张图片

(3)点击账户

JumpServer堡垒机_第45张图片

(4)下滑找到POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务

开启服务,在开启的过程中会生成授权码这个要用记事本记录下来待会要用

JumpServer堡垒机_第46张图片

(5)Jumpserver Web界面设置

点击系统设置

JumpServer堡垒机_第47张图片

点击左栏的邮件设置

JumpServer堡垒机_第48张图片

都设置完之后点击测试连接

JumpServer堡垒机_第49张图片

JumpServer堡垒机_第50张图片

回到控制台→用户管理→用户列表→创建

JumpServer堡垒机_第51张图片

JumpServer堡垒机_第52张图片

这个时候点击设置密码

如果无法访问将前面的127.0.0.1改成192.168.200.10就能访问了

然后修改密码,修改成功后会返回一封邮件提示

JumpServer堡垒机_第53张图片

你可能感兴趣的:(Jumpserver,jumpserver)