三分钟搭建开源堡垒机JumpServer
一、简介
前面我们聊到了openvpn的部署和使用,它能够实现从互联网通过openvpn连接到公司内网服务器,从而进行远程管理;但openvpn有一个缺点它不能记录哪些用户在内网服务器上操作了什么,拥有客户端的证书和私钥以及ca的证书和客户端配置,就可以直接连接到公司内网,这从某些角度讲不是一个安全的解决方案;
今天我们来聊一款和openvpn有类似功能的软件jumpserver;jumpserver和openvpn都可以让用户从互联网连接公司内网服务器;但通常jumpserver都不会放在互联网;它主要用作运维、开发、以及测试相关人员来利用它连接公司内网服务器,从而实现集中管理公司内网服务器;同时jumpserver还具有权限管理,用户管理,以及监控回放等等功能;
二、jumpserver架构图
三、jumpserver服务器安装
docker安装:
Linux 生成随机加密秘钥, 可以用下面的命令
if [ ! "$SECRET_KEY" ]; then
SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`;
echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc;
echo $SECRET_KEY;
else
echo $SECRET_KEY;
fi
if [ ! "$BOOTSTRAP_TOKEN" ]; then
BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`;
echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc;
echo $BOOTSTRAP_TOKEN;
else
echo $BOOTSTRAP_TOKEN;
fi
docker run --name jms_all -d \
-p 801:80 -p 2222:2222 \
-e SECRET_KEY=$SECRET_KEY \
-e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN \
-v /opt/jumpserver/data:/opt/jumpserver/data \
-v /opt/jumpserver/mysql:/var/lib/mysql \ --privileged=true \
jumpserver/jms_all:v2.2.2(指定版本安装)
docker run --name jms_all -d \
-p 801:80 -p 2222:2222 \
-e SECRET_KEY=$SECRET_KEY \
-e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN \
jumpserver/jms_all:latest(安装最新版本)
提示:使用docker logs -f 容器id 能够看到上图中的信息,说明jumpserver容器就跑起来了;
安装后配置流程:
1、设置管理用户,需要root权限
2、设置系统用户,为实际登录主机的用户
3、增加资产
4、增加用户
5、设置资产授权规则
一般来说,所有服务器里,有多少种密码,就设置多少个系统用户和授权规则,管理用户根据实际情况配置
访问jumpserver
提示:访问jumpserver容器所在主机的ip地址即可访问到jumpserver,默认用户名和密码都是admin;
提示:第一次登陆时,它会让我们重设密码;
提示:重设密码后,重新登录,jumpserver的首页就是上图这样;后续我们就可以在这个界面来管理内网服务器了;到此jumpserver服务器就搭建好了;
四、jumpserver使用
1、jumpserver基本设置
提示:基本设置是必须设置当前jumpserver的url和邮件主题前缀;这样在用户收到邮件中的链接都会指向这个jumpserver的url;
2、配置jumpserver发邮件的邮件服务器和用户名密码
提示:在系统设置--->邮件设置,把对应的账号信息,邮件服务器信息都填写好,然后测试连接,如果可以正常收到邮件,说明邮件服务器信息和邮件用户名密码没有问题;最后点提交;
3、创建用户
提示:在用户管理--->用户列表--->创建;填写好用户相关信息后,点击最下面的提交;
提示:新建用户成功以后,对应的用户邮箱就会收到一份有jumpserver发送到用户创建成功的邮件,用户可以点击此邮件中的链接进行密码设定;
提示:密码设定好了,点击设置;用户会收到一份密码更新成功的邮件;
4、创建用户组,并把test用户添加到对应的组中;
提示:用户管理--->用户组---->创建,填写好组信息和选择好用户后,点击提交即可;
5、jumpserver 资产管理--->管理用户创建
提示:资产管理---->管理用户---->创建,填写好对应被管控端的管理员和密码点击提交;管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。
6、创建系统用户,这里的系统用户是指我们使用jumpserver登录到对应的被管控主机时用的用户
提示:资产管理--->系统用户--->新建,填写好用户名,勾选自动推送和自动生成密钥,点击最下方的提交即可;这里填写的用户会用作jumpserver上登录对应的主机用到用户,如果被管控端没有这个用户,jumpserver就会利用我们刚才添加的管理用户去创建一个这里的系统用户;
7、创建资产
提示:资产管理--->资产列表--->新建,填写对应被管控的的主机信息和ip地址信息,以及管理用户,点击最下方的提交;
提示:提交完成后,我们就可以在资产列表中看到我们刚才添加到主机;
8、资产授权
提示:权限管理--->资产授权--->创建,填写好名称后,要选择用户和组以及资产和系统用户,然后点击最下方的提交;到此一个资源就授权给test用户和test组中的成员了;这里需要注意一点,一个节点中有很多server,如果你只想授权单台server给某个用户,下面的节点就留空,如果你想授权一个节点给用户你可以选择节点,上面的资产就可以留空,如果你又想授权单个资产和某个节点给用户,就选择对应的资产和节点即可;如果这里选择default节点,表示把default节点下的所有主机都授权给用户;默认default节点包含所有主机;
验证:使用test用户登录jumpserver,看看test用户是否能够看到我们创建的资源?
提示:首次登陆,它会让我们更新用户的信息,然后同一些条款,这个我们按照实际信息来修改即可;在我的资产中可以看到当前用户有点资产;
验证:使用test用户连接node01看看是否可以连接到node01?
提示:可以看到test用户是可以正常使用我们配置的jumpserver用户正常正常的连接到node01;
9、查看用户操作回放
提示:点击会话管理---->会话管理---->历史会话----> 找到对应会话后面的回放即可查看对应用户在过去会话中执行的操作;
好了,jumpserver的基本操作就到此为止了,后续其他日志啊,都可以在web上点击对应的菜单查看,我这里就不过多阐述了;
三分钟搭建开源堡垒机JumpServer相关推荐
- jumpserver 使用教程_开源堡垒机 Jumpserver 入门教程
原标题:开源堡垒机 Jumpserver 入门教程 背景 笔者最近想起此前公司使用过的堡垒机系统,觉得用的很方便,而现在的公司并没有搭建此类系统,想着以后说不定可以用上:而且最近也有点时间,因此来了搭 ...
- 开源堡垒机JumpServer的资产及用户配置说明
文章目录 前言 一.创建用户 二.配置资产(服务器) 1.配置Linux服务器步骤如下: 第一步.创建特权用户 第二步.创建资产 第三步.创建系统普通用户 第四步.创建授权规则 2.配置Windows ...
- 开源堡垒机 Jumpserver 1.4.9 发布,数据库支持 ssl
开发四年只会写业务代码,分布式高并发都不会还做程序员? 开源堡垒机 Jumpserver v1.4.9 发布了 , 更新内容如下: Bug修复: 创建定时任务时的时区问题 修复celery日志可能 ...
- 开源堡垒机 Jumpserver 入门教程
背景 笔者最近想起此前公司使用过的堡垒机系统,觉得用的很方便,而现在的公司并没有搭建此类系统,想着以后说不定可以用上:而且最近也有点时间,因此来了搭建堡垒机系统的兴趣,在搭建过程中参考了比较多的文档, ...
- Linux部署开源堡垒机JumpServer详细教程
堡垒机,也叫做运维安全审计系统,它的核心功能是 4A: 身份验证 Authentication 账号管理 Account 授权控制 Authorization 安全审计 Audit 简单总结一句话:堡 ...
- 开源堡垒机Jumpserver
Jumpserver介绍 JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v3.0 开源协议,是符合 4A 规范的运维安全审计系统. JumpServer 使用 Python / ...
- 关于开源堡垒机Jumpserver二次开发
针对市场上商业堡垒机动辄七八十万的投入,一般屌丝公司都是伤不起,只能砸机兴叹,开源堡垒机自然是一个方案.是拿来即用吗,NO,那是作死,不说安全.性能.并发,高可用,光维护资产.用户账号密码.授权,就可 ...
- 开源堡垒机JumpServer远程命令执行漏洞复现
声明 好好学习,天天向上 漏洞描述 JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统.JumpServer 使用Python ...
- 开源堡垒机jumpserver及麒麟堡垒机安装
环境 序号 主机IP 主机名 系统 备注 1 192.168.3.81 stu1 rockylinux8.6最小化安装 jumpserver保垒机安装 2 192.168.3.82 stu2 rock ...
最新文章
- 使用bitblt提高GDI+绘图的效率(转)
- 1995 年乔布斯访谈:什么对产品最重要
- windows下训练FCN模型所遇到的问题
- “启动Word时提示出错,只能用安全模式才能打开”的解决方法
- 【Pytorch神经网络实战案例】03 CIFAR-10数据集:Pytorch使用GPU训练CNN模版-测试方法
- android preferenceactivity 源码,PreferenceActivity PreferenceScreen (3.0/API 11 以前)
- WinXP无需激活的秘技
- 攻防世界misc新手_攻防世界pwn新手练习(CGfsb)
- FZU 2020 组合
- telink泰凌微 8266 8250 8258IO中断唤醒睡眠
- 一个菜鸟关于winrar密码无法秒破的研究结果
- Python入门到精通———第一天
- 初级第三旬05— 初级班课程第三旬试题
- php遇到Allowed memory size of 134217728 bytes exhausted错误解决方法
- 花窗图案c语言设计,4款中式仿古花窗图案隔断设计图 中式传统古建筑园林木门花窗艺术文化图片...
- 【MySQL】深入分析MySQL索引机制的实现
- 蓝牙耳机选哪种的比较好、高端蓝牙耳机推荐
- Java面试宝典!java除法保留小数点后两位
- 欧拉角、轴角与四元数
- chatbot 资料汇总