文章有点长请急躁看完哦!
1 Jumpserver 堡垒机概述 - 部署 Jumpserver 运行环境
1.1 跳板机概述
跳板机就是一台服务器,开发或运维人员在保护过程中首先要对立登录到这台服务器,而后再登录到
指标设施进行保护和操作。
跳板机毛病:没有实现对运维人员操作行为的管制和审计,应用跳板机的过程中还是会呈现误操作、
违规操作导致的事变,一旦呈现操作事变很难疾速定位到起因和责任人;
堡垒机概述:
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自内部和外部用户的入侵和毁坏,
而使用各种技术手段实时收集和监控网络环境中每一个组成部分的零碎状态、安全事件、网络流动,以便
集中报警、及时处理及审计定责。
总结:堡垒机比跳板机多了实时收集、监控网络环境、集中报警等性能。
Jumpserver 概述:
Jumpserver 是一款应用 Python, Django 开发的开源跳板机系统, 为互联网企业提供了认证,授
权,审计,自动化运维等性能。JumpServer 现已反对治理 SSH、Telnet、RDP、VNC 协定资产
官网网址:http://www.jumpserver.org
JumpServer 2 环境要求:
硬件配置: 4 个 CPU 外围, 6G 内存, 50G 硬盘(最低)
1.2Jumpserver 试验拓扑图
试验环境:
xuegod63 IP : 192.168.1.63 jumpserver 服务端 6G 内存
xuegod64 IP:192.168.1.64 资源,被治理的服务器 2G 内存
1.3 初始化零碎环境
初始化零碎环境
敞开防火墙
[root@xuegod63 ~]# systemctl stop firewalld && systemctl disable firewalld
敞开 selinux
[root@xuegod63 ~]# setenforce 0
永恒敞开(重启后失效,先设置长期再设置永恒。)
[root@xuegod63 ~]# sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
1.4 装置 jumpserver 所需相干服务
主动部署
[root@xuegod63 ~]# curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.10.2/quick_start.sh | bash
cd 进入装置治理目录启动 jms
[root@xuegod63 ~]# cd /opt/jumpserver-installer-v2.10.2/
[root@xuegod63 jumpserver-installer-v2.10.2]# ./jmsctl.sh restart
注:不必配置开机启动,因为新版本的 jumpserver 是以 docker 运行的。这些 docker 实例开身就是开机主动启动的。
Web 拜访,新版本提供了 2 个拜访地址一个 http 一个 https
http://192.168.1.63:8080/core… 用户:admin 明码:admin
https://192.168.1.63:8443/cor…
首次登录须要批改明码,这里咱们测试环境批改为 123456
2 jumpserver 平台零碎初始化
2.1 零碎根本设置
这里要写成本人实在的 URL 地址,不然前期用户拜访不了。http://192.168.1.63,设置实现后,
并点击“提交”按钮。
这里能够抉择 http 或 https
http://192.168.1.63:8080
https://192.168.1.63:8443
咱们应用 https
2.2 配置邮件发送服务器
点击页面上边的 ” 邮件设置 ” TAB,进入邮件设置页面
配置 163 邮箱
注:本人邮箱要开启 smtp 和 pop3 服务并减少受权码:
开启 POP3/SMTP/IMAP 服务办法:
请登录 163 邮箱,点击页面右上角的“设置”—在“高级”下,点“POP3/SMTP/IMAP”,开启
图中两个选项,并开启客户端删除邮件揭示。即可开启胜利。开明后即可用闪电邮、Outlook 等软件收
发邮件了。
新增受权明码:
ARYAOQXHFMXGBJVR
babrziluawkibaej
我的受权码是零碎主动生成的,须要复制保留
服务器地址:POP3 服务器:pop.163.com | SMTP 服务器:smtp.163.com | IMAP 服务
器:imap.163.com
提交完之后测试邮件是否可能失常发送。
邮箱中查看邮件
3 应用 jumpserver 治理王者光荣数万台游戏服务器
3.1 用户治理
1、增加用户组。
用户名即 Jumpserver 登录账号。用户组是用于资产受权,当某个资产对一个用户组受权后,这个
用户组上面的所有用户就都能够应用这个资产了。角色用于辨别一个用户是管理员还是普通用户。
点击用户治理 —> 查看用户组 —> 增加用户组
增加新的小组 —> 王者光荣 - 华北区运维部门
查看方才增加的组
2、增加用户
点击用户治理 —> 用户列表 —> 创立用户
其中,名称是实在姓名,用户名即 Jumpserver 登录账号。
而后点提交。就会收到用户创立胜利的邮件
扩大:
MFA,Multi-FactorAuthentication,即多因子认证,是一种简略无效的平安认证办法。它可能在
用户名和明码之外,再减少一层爱护。MFA 设施,又叫动静口令卡或 Token 卡,是提供这种平安认证
办法的设施。
MFA 设施如:
硬件 MFA 设施
硬件 MFA 设施如下图所示,侧面的 6 位数动静平安码 30 秒更新一次,反面有该硬件 MFA 设施
的序列号。
手机校验码:
查看增加的用户
应用无痕浏览器,关上一个新窗口,登录邮箱:
胜利提交用户信息后,Jumpserver 会发送一条设置 ” 用户明码 ” 的邮件到您填写的邮箱。
登录一下 163 邮箱,查看邮件如下:
点击链接,跳转到 批改明码:123456
应用浏览器,无痕模式关上:https://192.168.1.63:8443/ 用户:mk 明码:123456
能登录胜利。
切换到 admin 用户,给新用户 mk,配置 ssh 密钥
用户能够重置明码,也能够重置 SSH 密钥,不便前期登录:我在本人的另一台 linux 上,应用 mk
用户生成本人的 ssh 密钥。
[root@xuegod63 ~]# useradd mk
[root@xuegod63 ~]# echo 123456 | passwd --stdin mk
[root@xuegod63 ~]# su - mk
[mk@xuegod63 ~]$ ssh-keygen #一路回车
[mk@xuegod63 ~]$ cat ~/.ssh/id_rsa.pub
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDFMqCGfXDW8UW7Dd0QoXzvnny/4u9ET2sKBt2
SQf+wVVS6pLJHE3QNXzHxg+uI1KRJwVtGiPWPtOQ4yj3HiMsBSLsFjOWFoIcv1myXYtLFuw
ovLfUJgyCwD/LHfSgJ821bUQ2w9uUkAKirBJtjKFC/E4l9Z+GgZmLr9ckRWfZOt3g+xD3iNlh/l
D4FlTYz0U9hlb4GrpikP5WtsYZgpIImMTgPsxq3yspQGvTpzsj1ApfOgt0SEHsqd1yYv4K+2bok
MDrpTSmvsHXTWCBwpXsp2NQA2s1aDKJIOTY3mDCDQdJl9aMbBAjErdYFvEoNybNdH98K
TcEQeCsrCrI0SfR9 mk@xuegod63.cn
把下面生成的公钥粘到这里:
提交实现
3.2 编辑资产树增加节点
应用 admin 用户登录 jumpserver,增加节点,节点不能重名,右击节点能够增加、删除和重命名
节点,以及进行资产相干的操作。
名字为:王者光荣 - 华北区 - 服务器
3.3 创立治理用户
Jumpserver 里各个用户的阐明:
治理用户是服务器的 root,或领有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 应用该
用户来推送零碎用户、获取资产硬件信息等。
名称:王者光荣 - 华北区 - 服务器治理用户 -root 明码是:123456
前提,你的王者光荣 - 华北区 - 服务器节点中所有的服务器 root 用户明码都是:123456
这样就能够应用此 root 用户治理服务器。
留神:在创立治理用户时的“明码”处,须要指定为服务器 linux 零碎中实在的 root 用户的明码。
3.4 创立零碎用户
零碎用户是 Jumpserver 跳转登录资产时应用的用户,能够了解为登录资产用户,Jumpserver
应用零碎用户登录资产。
零碎用户的 Sudo 栏填写容许以后零碎用户免 sudo 明码执行的程序门路,如默认的
/sbin/ifconfig,意思是以后零碎用户能够间接执行 ifconfig 命令或 sudo ifconfig 而不须要输出当
前零碎用户的明码,执行其余的命令任然须要明码,以此来达到权限管制的目标。
此处的权限应该依据应用用户的需要汇总后定制,原则上给予最小权限即可。
零碎用户创立时,如果抉择了主动推送 Jumpserver 会应用 Ansible 主动推送零碎用户到资产
中,如果资产 (交换机、Windows) 不反对 Ansible, 请手动填写账号密码。
Linux 零碎协定项务必抉择 ssh。如果用户在零碎中已存在,请去掉主动生成密钥、主动推送勾
选。
减少一个名称:查看服务器运行状态的用户;
用户名:user
权限:/sbin/ifconfig,/usr/bin/top,/usr/bin/free
增加系统管理员用户
名称:系统管理员用户
; 用户名:manager
sudo 权限:/usr/local/sbin/,/usr/local/bin/,/usr/sbin/,/usr/bin/,/root/bin/
注:如果写的是一个目录,不必具体命令。目录门路最初面加一个 /,这样看得更分明。当然不加 /
也能够,只是有时可能会把 /usr/local/sbin 当成一个命令。必须应用英文逗号分隔。
3.5 创立资产
注:减少资产前,肯定要把 xuegod64, 先运行起来
开启虚拟机 xuegod64.cn。一会把这台机器当成资源增加平台中。
主机名:game64.xuegod.cn- 王者光荣 - 华北区
IP: 192.168.1.64
零碎平台:Linux
协定组:ssh 22
治理用户:王者光荣 - 华北区 - 服务器治理用户 -root(root)
设置实现并点“提交”。
资产创立信息填写好保留之后, 按下 F5 刷新一下页面,能够看到曾经能够连贯资产,阐明失常:
如果资产不能失常连贯,请查看治理用户的用户名和密钥是否正确以及该治理用户是否能应用 SSH
从 Jumpserver 主机正确登录到资产主机上。
3.6 创立受权规定
节点,对应的是资产,代表该节点下的所有资产。
用户组,对应的是用户,代表该用户组下所有的用户。
零碎用户,及所选的用户组下的用户能通过该零碎用户应用所选节点下的资产。
节点,用户组,零碎用户是一对一的关系,所以当领有 Linux、Windows 不同类型资产时,应该
别离给 Linux 资产和 Windows 资产创立受权规定。
名称:王者光荣 - 华化区 - 服务器受权规定
注:用户和用户组是指要给谁受权,如果受权了用户组,则该组中用户全副领有权限。
用户:不必写
用户组:王者光荣 - 华北运维部门
注资产和节点可受权单个资产也可依照节点进行受权。受权华北节点则华北节点下所有服务器被授
权。
资产:
节点:/Default/ 王者光荣 - 华北区 - 服务器
动作:权限打勾,点开能够调配具体权限。
其它选项,应用默认,而后提交就能够了。
注:这一条受权的含意是:只有是“王者光荣 - 华北区运维部门”组中的人,对节点“王者光荣 - 华
北区 - 服务器”中的所有服务器,领有“系统管理员用户”的权限。
受权胜利后,你本人手动到 xuegod64 上查看:
[root@xuegod64 ~]# tail /etc/passwd -n 5
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
manager:x:1000:1000: 系统管理员用户:/home/manager:/bin/bash #主动推送一个帐号,自
动在资产服务器上创立零碎用户
[root@xuegod64 ~]# visudo #sudo 相干的规定也会被主动推送过去
manager ALL=(ALL) NOPASSWD: /usr/local/sbin,/usr/local/bin,/usr/sbin,/usr/bin,/root/bin
3.7 用户应用资产
登录 Jumpserver : https://192.168.1.63:8443 用户:mk 明码:123456
创立受权规定的时候,抉择了用户组,所以这里须要登录所选用户组上面的用户能力看见相应的资
产。
应用无痕浏览器,再关上一个窗口,进行登录:
用户正确登录后的页面:
1、应用 web 界面连贯资产,点击页面右边的 Web 终端:
关上资产所在的节点:
双击资产名字,就连上资产了:
如果显示连贯超时,请查看为资产调配的零碎用户用户名和密钥是否正确,是否正确抉择 Linux 操
作零碎,协定 ssh,端口 22,以及资产的防火墙策略是否正确配置等信息。
接下来,就能够对资产进行操作了。
3.8 在 xshell 字符终端下连贯 jumpserver 治理服务器
[root@xuegod63 ~]# ssh -p2222 mk@192.168.1.63 #进行链接 jumpserver 或应用 xshell 进行连贯 jumpserver
输出 jumpserver 用户 mk 和明码 123456
点击确定开始连贯
Opt> 64 #输出一个 64,就能够间接登录:192.168.1.64
Connecting to mailto:manager@game64.xuegod.cn- 王者光荣 - 华北区 0.3
Last login: Thu Jun 7 23:15:13 1718 from xuegod63.cn
[manager@xuegod64 ~]$ whoami #发现登录应用的是零碎用户 manager
manager
[manager@xuegod64 ~]$ exit
登出
Opt> p #显示你有权限的主机
Opt> g #显示你有权限的主机组
3.9 查看历史命令记录
3.10 查看历史会话并回放视频
在线会话
历史会话
3.11 文件治理性能
在这此,能够新建文件夹,也能够上传文件到服务器。这些创立的文件和上传的文件,都会存在指标
服务器的 /tmp 目录下
[root@xuegod64 ~]# ls /tmp/
3.12 作业核心
1、工作列表
作业是 Jumpserver 向其所治理下的资产发送的指令, 例如, 测试资产可连接性、获取资产硬件信
息、测试治理用户可连接性和测试零碎用户可连接性等命令。默认展现最近 7 天的作业记录。
点击作业名称能够查看作业的具体详情、作业的历史版本以及作业执行的历史记录
2、批量命令
能够通过该性能疾速下发命令到资产, 目前仅反对能被 ansible 治理的资产, 要求 零碎用户 登陆方
式为 主动登陆
更多内容,能够参数官网手册:
https://jumpserver.readthedoc…
https://docs.jumpserver.org/z…
4 应用 jumpserver 治理 mysql 数据库
4.1 装置 mariadb 数据库
[root@xuegod64 ~]# yum install -y mariadb-server
[root@xuegod64 ~]# systemctl enable --now
mariadb
设置 root 明码
[root@xuegod64 ~]# mysqladmin -uroot password "123456"
创立 ecshop 数据库和 xuegod 用户,要指定 xuegod 用户能够从任意中央登录 mysql 数据库。[root@xuegod64 ~]# mysql -uroot -p123456
MariaDB [(none)]> create database ecshop;
MariaDB [(none)]> use ecshop;
#创立电商网站数据库 ecshop
MariaDB [(none)]> create table user(id int (20),name char(40)); #创立一个表 user
MariaDB [(none)]> grant all privileges on *.* to 'xuegod'@'%'
identified by '123456';
4.2jumpserver 治理数据库
增加 Mysql 零碎用户
名称:xuegod-mysql
登录模式:主动登录
账户信息为装置数据库后创立的受权用户
用户名:xuegod
明码:123456
创立利用
名称:xuegod-mysql
主机:192.168.1.64
端口:3306
注:这里数据库是指 mysql 中的哪个库,咱们测试环境抉择 mysql 数据库即可。
指定登录后,要应用的数据库:ecshop
利用受权
名称:xuegod-mysql
用户组:王者光荣 - 华北区运维部门
利用:xuegod-mysql
零碎用户:xuegod-mysql
受权实现后,以 mk 用户登录,就能够在 Web 终端中治理 mysql 利用了。
总结:
17.1Jumpserver 堡垒机概述 - 部署 Jumpserver 运行环境
17.2jumpserver 平台零碎初始化
17.3 实战:应用 jumpserver 治理王者光荣数万台游戏服务器
17.4 应用 jumpserver 治理 mysql 数据库
想要获取相干视频教程,+ V 回复:“JumpServer”即可取得哦!