搭建jumperserver堡垒机管理万台服务器-2

搭建jumperserver堡垒机管理万台服务器-2

1  Jumpserver堡垒机概述-部署Jumpserver运行环境

2  安装Coco组件

3  安装Web-Terminal前端-Luna组件-配置Nginx整合各组件

4  jumpserver平台系统初始化

5  实战：使用jumpserver 管理数万台服务器

部署准备：

序号	服务器名	IP	角色
1	k5	10.27.17.62	jumbserver 、redis、mariadb、koko、Web Terminal
2

4.1 jumpserver平台系统初始化

4.2  配置邮件发送服务器

成功后，需要点   “提交”

注：配置完后，需要重启一下服务。不然后期创建用户，收不到邮件。

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms stop all -d

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms start all -d

更新设置成功, 请手动重启程序

如果未开通自己邮箱要开启smtp和pop3服务须要自己开启一下

开启POP3/SMTP/IMAP服务方法：

4.5  使用jumpserver 管理王者荣耀数万台游戏服务器

4.5.1  用户管理

1、添加用户组。

用户名即 Jumpserver 登录账号。用户组是用于资产授权，当某个资产对一个用户组授权后，这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户。

点击用户管理 —> 查看用户组 —> 添加用户组

2、添加用户

点击用户管理 —> 用户列表 —> 创建用户

其中，名称是真实姓名，用户名即 Jumpserver 登录账号。

成功提交用户信息后，Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱。

设置ssh 密钥，用户自己生成SSH 密钥，方便后期登录：我在自己的另一台linux上，使用hss用户生成自己的ssh密钥。

(py3) [root@k5 nginx]# useradd hss123

(py3) [root@k5 nginx]# echo 123456|passwd --stdin hss123

更改用户 hss123 的密码 。

passwd：所有的身份验证令牌已经成功更新。

(py3) [root@k5 nginx]# su - hss123

Attempting to create directory /home/hss123/perl5

[hss123@k5 ~]$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key (/home/hss123/.ssh/id_rsa):

Created directory '/home/hss123/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/hss123/.ssh/id_rsa.

Your public key has been saved in /home/hss123/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:kma1W3qKlbAOTiKAI0WektjJennKfg9T3K7cTzHcC5M hss123@k5

The key's randomart image is:

+---[RSA 2048]----+

|  .              |

|.* o             |

|+ B     .        |

|.+ . . + o o     |

|* o . O S E .    |

|o+ o + = = = .   |

|. + = . * o .    |

| o +.* = +       |

|  ....* o..      |

+----[SHA256]-----+

[hss123@k5 ~]$

[hss123@k5 ~]$ cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5J9+wH2j1Pr0zTGCTiSM3ny8lfBE+CIeD1XfdD1RSQlhribNV4Fs0/fftEol0RV25wFCPtiVjlJ3cKwr8UmYBRCH9Shhq2RtJabyeDvXwCREHHjg8rPA24+FC2jwxQlHby1q8RNV2S8i+dK9ss+nvaFvCjU0Jc6Z1QtjB01ypTiY7pPHJHscEf5KO8Gazh0SFtrXzJVPWatYO7OtjBdcYMU4WdHpi78TEJd1jRa+0ei1WYQiqR0NeqhO+5/z/lJiUo7zwaojoPyaIu3JSP5NBclHBLlHqBlb//QGvf+4mv+7/jkzO2bI5x+lNK/X8s41TdqMR+GR5v5glgYSnWAWf hss123@k5

4.5.2  编辑资产树添加节点

节点不能重名，右击节点可以添加、删除和重命名节点，以及进行资产相关的操作。

4.5.3   创建管理用户

Jumpserver里各个用户的说明：

管理用户是服务器的 root，或拥有 NOPASSWD: ALL sudo 权限的用户，Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。

前提，你的西南片区-服务器节点中所有的服务器root用户密码都是：123这样就可以使用此root用户管理服务器。

4.5.4   创建系统用户

系统用户是 Jumpserver 跳转登录资产时使用的用户，可以理解为登录资产用户， Jumpserver使用系统用户登录资产。

系统用户的 Sudo 栏填写允许当前系统用户免sudo密码执行的程序路径，如默认的/sbin/ifconfig，意思是当前系统用户可以直接执行 ifconfig 命令或 sudo ifconfig 而不需要输入当前系统用户的密码，执行其他的命令任然需要密码，以此来达到权限控制的目的。

# 此处的权限应该根据使用用户的需求汇总后定制，原则上给予最小权限即可。

系统用户创建时，如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中，如果资产(交换机、Windows )不支持 Ansible, 请手动填写账号密码。

Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在，请去掉自动生成密钥、自动推送勾选。

增加一个：检查服务器运行状态的用户： user 权限： /sbin/ifconfig,/usr/bin/top,/usr/bin/free

再加一个： 系统管理员用户：manager

4.5.5   创建资产

点击页面左侧的“资产管理”菜单下的“资产列表”按钮，查看当前所有的资产列表。

点击页面左上角的“创建资产”按钮，进入资产创建页面，填写资产信息。

IP 地址和管理用户要确保正确，确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展示，可不填，Jumpserver 连接资产使用的是 IP 信息。

开启虚拟机hero5, 这台机器当成资源添加平台中。

hero5-西南片区  10.27.17.35

如果资产不能正常连接，请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上。

4.5.6   网域列表

网域功能是为了解决部分环境无法直接连接而新增的功能，原理是通过网关服务器进行跳转登录。

这个功能，一般情况不用到。

4.5.7  创建授权规则

节点，对应的是资产，代表该节点下的所有资产。

用户组，对应的是用户，代表该用户组下所有的用户。

系统用户，及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。

节点，用户组，系统用户是一对一的关系，所以当拥有 Linux、Windows 不同类型资产时，应该分别给 Linux 资产和 Windows 资产创建授权规则。

注：这一条授权的含意是： 只要是“西南片区运维部门”组中的人，对节点“西南片区-服务器”中的所有服务器，拥有“系统管理员用户”的权限。

授权成功后，你自己手动到hero5,6,7上查看：

[root@k6 ~]# tail -n 5 /etc/passwd
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
chrony:x:994:992::/var/lib/chrony:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
manager:x:1000:1000::/home/manager:/bin/bash

#自动推送一个帐号，自动在资产服务器上创建系统用户

[root@k6 ~]# visudo

4.5.8  用户使用资产

登录 Jumpserver

创建授权规则的时候，选择了用户组，所以这里需要登录所选用户组下面的用户才能看见相应的资产。

使用无痕浏览器，再打开一个窗口，进行登录：

打开资产所在的节点：

双击资产名字，就连上资产了：

如果显示连接超时，请检查为资产分配的系统用户用户名和密钥是否正确，是否正确选择 Linux 操作系统，协议 ssh，端口22，以及资产的防火墙策略是否正确配置等信息。

4.5.9  在xshell字符终端下连接jumpserver管理服务器

更多内容，可以参数官方手册：http://docs.jumpserver.org/zh/docs/step_by_step.html

总结：

1、安装时coco时，他默认打开的连接端口是2222 ，刚开查看运行情况时，不会产生，在你加入了jumpserver后，会自动产生。

2、在安装完成后，启动JMS时，不会成功，会报一次错，这个不重要，要么重启一下服务器，要么等一会再启动一次就OK了。

3、安装完成后，可直接在xshell进行连接，切换也比较快捷。