本文收录在Linux运维企业架构实战系列

必备条件

  • 硬件条件
① 一台安装好 Jumpserver 系统的可用主机(堡垒机)
② 一台或多台可用的 Linux、Windows资产设备(被管理的资产)
  • 服务条件

(1)coco服务

① 鉴于心态检测存在延迟,也可以直接在 Jumpserver 主机上执行如下命令检测 Coco 是否存活,Coco 服务默认使用 2222 端口:

[root@centos7-1 ~]# ss -nutlp |grep 2222

效果如下:

② 如 coco 不在线或者服务不正常,可以尝试重启 coco

$ cd /opt/coco

$ ./cocod restart   # 请确保 jumpserver 已经正常运行。

(2)guacamole 服务

如果 guacamole 不在线或者服务不正常,可以尝试重启docker 容器

① $ docker ps   # 查询正在运行的容器,记录下容器的 <CONTAINER ID> ,可以附加 -a 参数查询所有容器

② $ docker restart 6b15fcf0e5f3   # 6b15fcf0e5f3 是通过docker ps查询到的,请不要直接复制。

# docker 用法: docker start|stop|restart|rm|rmi <CONTAINER ID>

一、系统设置

1.1 基本设置

可以设置用户向导url,如果不设置,jumpserver产生的链接都默认为www.localhost.com

1.2 配置邮件发送服务器

点击页面上边的"邮件设置" ,进入邮件设置页面:

注:

① 配置 QQ 邮箱的 SMTP 服务可参考(http://blog.csdn.net/Aaron133/article/details/78363844),仅使用只需要看完第二部分即可。

② SMTP 密码是你打开qq邮箱SMTP 时腾讯给你发送的密码。

③ 配置邮件服务后,点击页面的"测试连接"按钮,如果配置正确,Jumpserver 会发送一条测试邮件到您的 SMTP 账号邮箱里面:

二、创建用户

2.1 创建 Jumpserver 用户

① 点击页面左侧"用户列表"菜单下的"用户列表",进入用户列表页面。

② 点击页面左上角"创建用户"按钮,进入创建用户页面,填写账户,角色安全,个人等信息。

其中,用户名即 Jumpserver 登录账号。用户组是用于资产授权,当某个资产对一个用户组授权后,这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户。

③ 成功提交用户信息后,Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。

④ 点击邮件中的设置密码链接,设置好密码后,您就可以用户名和密码登录 Jumpserver 了。

2.2 登录 Jumpserver 用户

(1)web 页面登录

① 用户首次登录 Jumpserver,会被要求完善用户信息。

② 生成ssh 公钥

Linux/Unix 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.html)

Windows 生成 SSH 密钥可以参考(https://www.cnblogs.com/horanly/p/6604104.html)

查看公钥信息

[root@centos7-1 ~]# cat .ssh/id_rsa.pub$ cat ~/.ssh/id_rsa.pub

③ 复制 SSH 公钥,添加到 Jumpserver 中。

(2)除了使用浏览器登录 Jumpserver 外,还可使用命令行登录:

① 确保 Coco 服务正常

② 命令行登录 Jumpserver 使用如下命令:

$ ssh -p 2222 用户名@Jumpserver IP地址

登录成功后界面如下:

三、创建资产

3.1 创建 Linux 资产

(1)编辑资产树

节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作。

(2)创建管理用户

  管理用户是服务器的 root,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。

  注意:资产管理里面的所以信息,都是和资产有关,包括创建的所有用户;jumpserver的root用户密码,只给jumpserver管理员登录安装了jumpserver的服务器使用。除此之外不用在任何地方;不用搞混了(我就搞混了)

  如果使用ssh私钥,需要先在资产上设置,这里举个例子供参考(本例登录资产使用root为例)

① 在资产上生成 root 账户的公钥和私钥

[root@centos7-1 ~]# ssh-keygen -t rsa   # 默认会输入公钥和私钥文件到 ~/.ssh 目录

② 将公钥输出到文件 authorized_keys 文件,并修改权限

[root@centos7-1 ~]# cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

[root@centos7-1 ~]# chmod 400 ~/.ssh/authorized_keys

③ 打开RSA验证相关设置

[root@centos7-1 ~]# vim /etc/ssh/sshd_config

  RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

④ 重启 ssh 服务

[root@centos7-1 ~]# systemctl restart sshd

⑤ 上传 ~/.ssh 目录下的 id_rsa 私钥到 jumpserver 的管理用户中

(3)这样就可以使用 ssh私钥 进行管理服务器。

名称可以按资产树来命名。用户名root。密码和 SSH 私钥必填一个。

(4)创建系统用户

① 系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。

② 系统用户的 Sudo 栏填写允许当前系统用户免sudo密码执行的程序路径,如默认的/sbin/ifconfig,意思是当前系统用户可以直接执行 ifconfig 命令或 sudo ifconfig 而不需要输入当前系统用户的密码,执行其他的命令任然需要密码,以此来达到权限控制的目的。

③ 这里简单举几个例子:

Sudo /bin/su  # 当前系统用户可以免sudo密码执行sudo su命令(也就是可以直接切换到root,生产环境不建议这样操作)
Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/head,/usr/bin/tail # 当前系统用户可以免sudo密码执行git php cat more less head tail
# 此处的权限应该根据使用用户的需求汇总后定制,原则上给予最小权限即可。

④ 系统用户创建时,如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机、Windows )不支持 Ansible, 请手动填写账号密码。

Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在,请去掉自动生成密钥、自动推送勾选。

(5)创建资产

① 点击页面左侧的"资产管理"菜单下的"资产列表"按钮,查看当前所有的资产列表。

点击页面左上角的"创建资产"按钮,进入资产创建页面,填写资产信息。

IP 地址和管理用户要确保正确,确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展示,可不填,Jumpserver 连接资产使用的是 IP 信息。

② 资产创建信息填写好保存之后,可测试资产是否能正确连接:

③ 测试成功;如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上。

(6)网域列表(如果有需要的话)

网域功能是为了解决部分环境无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。

点击页面左侧的"网域列表"按钮,查看所有网域列表。

① 点击页面左上角的"创建网域"按钮,进入网域创建页面,选择资产里用作网域的网关服务器。

② 点击网域的名称,进入网域详情列表。

点击页面的"网关"按钮,选择网关列表的"创建网关"按钮,进入网关创建页面,填写网关信息。

IP信息一般默认填写网域资产的IP即可(如用作网域的资产有多块网卡和IP地址,选能与jumpserer通信的任一IP即可),用户名与密码可以在资产上面创建亦可使用jumpserver的推送功能(需要手动输入密码),确认该用户拥有执行ssh命令的权限。

③ 保存信息后点击测试连接,确定设置无误后到资产列表添加需要使用网关登录的资产即可。

3.1 创建 Windows 资产(很容易出错,多注意)

(1)创建 Windows 系统管理用户

同 Linux 系统的管理用户一样,名称可以按资产树来命名,用户名是管理员用户名,密码是管理员的密码。

(2)创建 Windows 系统系统用户

目前 Windows 暂不支持自动推送,用户必须在系统中存在且有权限使用远程连接,请去掉自动生成密钥、自动推送勾选;请确认 windows 资产的 rdp 防火墙已经开放。

Windows 资产协议务必选择 rdp。

(3)创建 Windows 资产

同创建 Linux 资产一样。

创建 Windows 资产,系统平台请选择正确的 Windows,端口号为3389,IP 和 管理用户请正确选择,确保管理用户能正确登录到指定的 IP 主机上。

四、资产节点管理

4.1 为资产树节点分配资产

在资产列表页面,选择要添加资产的节点,右键,选择添加资产到节点。

选择要被添加的资产,点击"确认"即可。

4.2 删除节点资产

选择要被删除的节点,选择"从节点删除",点击"提交"即可。

五、创建授权规则

① 节点,对应的是资产,代表该节点下的所有资产。

② 用户组,对应的是用户,代表该用户组下所有的用户。

③ 系统用户,及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。

④ 节点,用户组,系统用户是一对一的关系,所以当拥有 Linux、Windows 不同类型资产时,应该分别给 Linux 资产和 Windows 资产创建授权规则。

创建的授权规节点要与资产所在的节点一致。

六、用户使用资产

6.1 登录 Jumpserver

创建授权规则的时候,选择了用户组,所以这里需要登录所选用户组下面的用户才能看见相应的资产。

用户正确登录后的页面:

6.2 使用资产

(1)连接资产

① 点击页面左边的 Web 终端:

② 打开资产所在的节点:

③ 双击资产名字,就连上资产了:

如果显示连接超时,请检查为资产分配的系统用户用户名和密钥是否正确,是否正确选择 Windows 操作系统,协议 rdp,端口3389,是否正确选择 Linux 操作系统,协议 ssh,端口22,以及资产的防火墙策略是否正确配置等信息。接下来,就可以对资产进行操作了。

④ 测试

创建一个test

在服务器上,确实有test 文件

(2)连接windows 资源

6.2.2 断开资产

点击页面顶部的 Server 按钮会弹出选个选项,第一个断开所选的连接,第二个断开所有连接。

以上就是 Jumpserver 的简易入门了,在使用过程中,如果遇到什么问题,可以与我讨论。

项目实战15.2—企业级堡垒机 jumpserver快速入门的更多相关文章

  1. 项目实战15.1—企业级堡垒机 jumpserver一步一步搭建

    本文收录在Linux运维企业架构实战系列 环境准备 系统:CentOS 7 IP:192.168.10.101 关闭selinux 和防火墙 # CentOS 7 $ setenforce 0 # 可 ...

  2. 项目实战15—企业级堡垒机 jumpserver

    本文收录在Linux运维企业架构实战系列 环境准备 系统:CentOS 7 IP:192.168.10.101 关闭selinux 和防火墙 # CentOS $ setenforce # 可以设置配 ...

  3. 企业级堡垒机 jumpserver

    环境准备 系统:CentOS 7 IP:192.168.10.101 关闭selinux 和防火墙 # CentOS $ setenforce # 可以设置配置文件永久关闭 $ systemctl s ...

  4. CentOS7 开源跳板机(堡垒机) Jumpserver

    开源跳板机(堡垒机)Jumpserver 环境 CentOS 7   x64       关闭 selinux  firewalld jumpserver: 172.24.0.14 testserve ...

  5. Centos下堡垒机Jumpserver V3.0环境部署完整记录(2)-配置篇

    前面已经介绍了Jumpserver V3.0的安装,基于这篇安装文档,下面说下Jumpserver安装后的的功能使用: 一.jumpserver的启动 Jumpserver的启动和重启 [root@t ...

  6. 开源堡垒机jumpserver

    开源堡垒机jumpserver 开源堡垒机jumpserver的安装 开源堡垒机jumpserver的配置和使用

  7. Spring Boot 揭秘与实战(二) 数据缓存篇 - 快速入门

    文章目录 1. 声明式缓存 2. Spring Boot默认集成CacheManager 3. 默认的 ConcurrenMapCacheManager 4. 实战演练5. 扩展阅读 4.1. Mav ...

  8. 开源堡垒机jumpserver的安装

    开源跳板机jumpserver安装 简介 Jumpserver 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统 Jumpserver 使用Pyt ...

  9. 堡垒机jumpserver测试记录--使用

    快速入门 截图就不放了,官网都有,这里只是就遇到的一些问题做下记录 必备条件 一台安装好 Jumpserver 系统的可用主机(堡垒机) 一台或多台可用的 Linux.Windows资产设备(被管理的 ...

随机推荐

  1. python2 当中 遇到 UnicodeDecodeError UnicodeDecodeError: 'ascii' codec can't decode byte 0xe9 in position 37: ordinal not in range(128)

    使用python2 总是遇到 UnicodeDecodeErrorUnicodeDecodeError: 'ascii' codec can't decode byte 0xe9 in positio ...

  2. python Mysql (二)

    Mysql (二) 一. 事务 a.数据库开启事务命令 1 2 3 4 #start transaction 开启事务 #Rollback 回滚事务,即撤销指定的sql语句(只能回退insert de ...

  3. CSS属性操作

    CSS属性操作 1 属性选择器 Elenment(元素) E[att] 匹配所有具有att属性的E元素,不考虑它的值.(注意:E在此处可以省略)(推荐使用) 例如:[po]{ font-size: 5 ...

  4. Codeforces Round #441 (Div. 2, by Moscow Team Olympiad) C. Classroom Watch

    http://codeforces.com/contest/876/problem/C 题意: 现在有一个数n,它是由一个数x加上x每一位的数字得到的,现在给出n,要求找出符合条件的每一个x. 思路: ...

  5. Java-Maven(五):Eclipse&Maven下创建java工程&web工程

    本章文章主要学习集成了maven插件的eclipse下,创建java project和web project的步骤. 创建java工程  第一步:使用使用maven project来创建java pr ...

  6. 深入探究Lua的GC算法(下)-《Lua设计与实现》

    紧接着上一篇文章zblade:深入探究Lua的GC算法(上)-<Lua设计与实现> 这篇文章让我们收尾GC的具体后续操作.转载请标明出处:http://www.cnblogs.com/zb ...

  7. MySQL中的数值函数

    加减乘除(+.-.*./)均可用于数值计算. SELECT (1 + 1) / (1 * 2.2 - 3) 执行算术函数 单参数数值函数举例: acos(x), asin(x), atan(x), c ...

  8. MySQL查询机制

    在MySQL中,每当查询被发送到服务端时,服务器在执行语句之前将会进行下面的检查: 用户是否有权限执行该语句? 用户是否有权限访问目标数据? 语句的语法是否正确 如果查询通过了这三个测试,就会被传递给 ...

  9. Java内存回收机制.md

    1.java的内存 java的内存结构分为 堆 (是gc的主要区域) 线程共享,主要是用于分配实例对象和数组 栈 线程私有,它的生命周期和线程相同,又分成 虚拟机栈和本地方法栈,只有它会报 Stack ...

  10. 机器学习技法:04 Soft-Margin Support Vector Machine

    Roadmap Motivation and Primal Problem Dual Problem Messages behind Soft-Margin SVM Model Selection S ...