一、Jumpserver 介绍

1、跳板机和堡垒机理解

1.1、跳板机

1.2、堡垒机

2、jumpserver简介

二、Jumpserver 安装部署

2.1、部署规划

2.2 、安装要求 JumpServer 环境要求:

2.3、安装方法介绍官方提供了多种安装方法

三、Jumpserver平台使用

3.1、Admin登录

3.2、配置邮件通知

3.3、创建平台登录用户

3.3.1、权限划分

3.3.2、创建组

3.4、新建jumpserver四个用户登录组

3.4、Jumpserver资产管理

3.4.1、创建资产树

3.4.2、登录jumpserver的普通用户

3.4.3、jumpserver用户授权资产

3.5、创建系统用户授权(登录服务器)

3.5.1、创建管理用户

3.5.2、创建普通系统用户

3.5.3、授权系统用户

3.5.4、前端验证系统登录

3.5.5、通过命令行ssh登录

3.6、创建系统审计员

4.1、管理应用(mysql)

4.1.1、mysql数据库创建

4.1.2、添加应用资产

九、3版本快速配置

Github项目

一、Jumpserver 介绍

普通用户登录限制划分

<username>  ALL=(ALL) NOPASSWD: /bin/whoami
<username>  ALL=(ALL) NOPASSWD: /usr/bin/apt-get
<username>  ALL=(ALL) NOPASSWD: /usr/bin/yum
<username>  ALL=(ALL) NOPASSWD: /usr/bin/dnf
<username>  ALL=(ALL) NOPASSWD: /usr/bin/systemctl
<username>  ALL=(ALL) NOPASSWD: /bin/cp
<username>  ALL=(ALL) NOPASSWD: /bin/mv
<username>  ALL=(ALL) NOPASSWD: /bin/rm
<username>  ALL=(ALL) NOPASSWD: /bin/mkdir
<username>  ALL=(ALL) NOPASSWD: /bin/chmod
<username>  ALL=(ALL) NOPASSWD: /bin/chown
<username>  ALL=(ALL) NOPASSWD: /sbin/ifconfig
<username>  ALL=(ALL) NOPASSWD: /sbin/ip
<username>  ALL=(ALL) NOPASSWD: /bin/ping
<username>  ALL=(ALL) NOPASSWD: /usr/sbin/traceroute
<username>  ALL=(ALL) NOPASSWD: /usr/bin/tail
<username>  ALL=(ALL) NOPASSWD: /usr/bin/less
<username>  ALL=(ALL) NOPASSWD: /bin/grep
<username>  ALL=(ALL) NOPASSWD: /usr/bin/scp
<username>  ALL=(ALL) NOPASSWD: /usr/bin/sftp
<username>  ALL=(ALL) NOPASSWD: /usr/bin/rsync
<username>  ALL=(ALL) NOPASSWD: /usr/bin/scp
<username>  ALL=(ALL) NOPASSWD: /usr/bin/sftp
<username>  ALL=(ALL) NOPASSWD: /usr/bin/rsync
<username>  ALL=(ALL) NOPASSWD: /bin/netstat
<username>  ALL=(ALL) NOPASSWD: /usr/bin/ss
<username> ALL=(ALL) NOPASSWD: /bin/chown -R <username> /data/servers, /bin/chmod -R u+rwx /data/servers


#合并成一条。
xingdaorong ALL=(ALL) NOPASSWD: /bin/whoami, /usr/bin/apt-get, /usr/bin/yum, /usr/bin/dnf, /usr/bin/systemctl, /bin/cp, /bin/mv, /bin/rm, /bin/mkdir, /bin/chmod, /bin/chown, 
/sbin/ifconfig, /sbin/ip, /bin/ping, /usr/sbin/traceroute, /usr/bin/tail, /usr/bin/less, /bin/grep, /usr/bin/scp, /usr/bin/sftp, /usr/bin/rsync, /usr/bin/scp, /usr/bin/sftp,
/usr/bin/rsync, /bin/netstat, /usr/bin/ss, /bin/chown -R xingdaorong /data/, /bin/chmod -R u+rwx /data/

1、跳板机和堡垒机理解

1.1、跳板机

跳板机和堡垒机都是用于加强对远程访问的安全控制

跳板机是一种用于单点登陆的主机应用系统。跳板机通常是由一台服务器能过特定的软件实现，维护人员在维护过程中，首先要统一登录到这台服务器上，然后从这台服务器再登录到目标设备进行维护。但跳板机没有实现对运维人员操作行为的控制和审计，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。支持协议相对较少，例如windows、linux跳板机，支持ssh权限

1.2、堡垒机

由于跳板机的不足，更多的组织需要更先进、更好的安全技术,来实现运维操作管理和安全。堡垒机开始以独立的产品形态被广泛部署，有效降低了运维操作风险，使得运维操作管理变得更简单、更安全。堡垒机能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求，并生成一些统计报表配合管理规范，从而不断提升IT内控的合规性。

2、jumpserver简介

系统学习看官方b站账号

二、Jumpserver 安装部署

官方说明

Github项目

2.1、部署规划

主机名	IP地址	部署服务
node01.opsvv.com	192.168.101.100	Jumpserver(allinone)
node02.opsvv.com	192.168.101.101	被管理节点
node03.opsvv.com	192.168.101.102	被管理节点

2.2 、安装要求 JumpServer 环境要求:

硬件配置: 2个CPU核心, 4G 内存, 50G 硬盘(最低)
操作系统: Linux 发行版 x86_64

2.3、安装方法介绍官方提供了多种安装方法

组件介绍

手动部署: 按组件逐个实现
极速部署: 资产数量不多，或者测试体验的用户请使用本脚本快速部署容器部署: 基于docker 实现
分布式部署: 适用大型环境

yum -y install wget gcc epel-release git

安装部署 - JumpServer 文档

cd /opt
wget https://github.com/jumpserver/installer/releases/download/v2.28.8/jumpserver-installer-v2.28.8.tar.gz
tar -xf jumpserver-installer-v2.28.8.tar.gz
cd jumpserver-installer-v2.28.8

# 根据需要修改配置文件模板, 如果不清楚用途可以跳过修改
cat config-example.txt

# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/

## Docker 镜像配置
# DOCKER_IMAGE_MIRROR=1

## 安装配置
VOLUME_DIR=/opt/jumpserver
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR

##  MySQL 配置, 如果使用外置数据库, 请输入正确的 MySQL 信息
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver

##  Redis 配置, 如果使用外置数据库, 请输入正确的 Redis 信息
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=

# JumpServer 容器使用的网段, 请勿与现有的网络冲突, 根据实际情况自行修改
DOCKER_SUBNET=192.168.250.0/24

## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64

## 访问配置
HTTP_PORT=80
SSH_PORT=2222
RDP_PORT=3389
MAGNUS_PORTS=30000-30100

## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key

## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m

## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1

# Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=True 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=True

# Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080
JUMPSERVER_ENABLE_FONT_SMOOTHING=True

## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}

# 额外的配置
CURRENT_VERSION=

# 安装
./jmsctl.sh install
# 启动
./jmsctl.sh start
安装完成后配置文件 /opt/jumpserver/config/config.txt
cd /opt/jumpserver-installer-v2.28.8
# 启动
./jmsctl.sh start
# 停止
./jmsctl.sh down
# 卸载
./jmsctl.sh uninstall
# 帮助
./jmsctl.sh -h

导入镜像

使用jumpserver脚本初始化和启动数据库

[root@node01 jumpserver-installer-v2.28.8]# bash jmsctl.sh install

jumpserver服务启动

[root@node01 jumpserver-installer-v2.28.8]# bash jmsctl.sh start

三、Jumpserver平台使用

3.1、Admin登录

默认用户admin默认密码admin

修改基本信息

3.2、配置邮件通知

163邮箱为例

发送邮件通知，密码使用授权密码

notice9527@163.com

接收邮件

ops95270@163.com

测试发送邮件

查看邮箱

3.3、创建平台登录用户

登录前端

JumpServer 支持三种登录用户

普通用户

系统审计员

系统管理员

3.3.1、权限划分

部门	平台分组	平台登录用户	系统用户
研发	dev01	xunyu	dev
研发	dev02	jiaxu	dev
测试	test	xingdaorong	test
运维	ops	xinglu	ops

3.3.2、创建组

由于没有创建用户不用选择用户

以此类推创建四个分组

3.4、新建jumpserver四个用户登录组

3.4、Jumpserver资产管理

3.4.1、创建资产树

创建dev资产，添加dev组的机器

右键，创建节点节点

dev资产树添加node01主机

还没创建特权用户，暂时不选

创建完资产树后添加对应的主机。

3.4.2、登录jumpserver的普通用户

没有给平台用户授权前，看不到资产。

3.4.3、jumpserver用户授权资产

admin用户操作

普通用户登录jumpserver后可以看到哪些资产

ops组内都用户登录后都可以看到资产

其他组参考上面操作

切换普通用户可以看到授权的资产列表,无法登录

3.5、创建系统用户授权(登录服务器)

3.5.1、创建管理用户

管理用户是jumpServer用来管理后端服务器或其它资产的管理员用户,此用户必须对后端服务器有管理权限

管理用户特点:

通常是后端服务器的root或者是具备root权限的超级用户用于推送或者是创建系统用户用于获取被管理的硬件资产信息

3.5.2、创建普通系统用户

登录admin给登录平台用户添加服务器对应的系统用户

3.5.3、授权系统用户

授权那些系统用户登录机器

更新dev组

更新ops

参考dev

更新test

参考dev

查看效果

检查是否自动推送不同的系统用户到主机

3.5.4、前端验证系统登录

普通用户登录jumpserver验证是否可以登录服务器

3.5.5、通过命令行ssh登录

填写jumpserver平台用户

根据选项登录服务器

3.6、创建系统审计员

注意邮箱账号不能重复

4.1、管理应用(mysql)

4.1.1、mysql数据库创建

使用docker-compose启动数据库

用户test密码123456

授权数据库test

4.1.2、添加应用资产

创建mysql协议的系统用户

九、3版本快速配置

jumpserver3在线安装

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

Jumpserver 2.28.8使用分享

一、Jumpserver 介绍

1、跳板机和堡垒机理解

1.1、跳板机

1.2、堡垒机

2、jumpserver简介

二、Jumpserver 安装部署

2.1、部署规划

2.2 、安装要求 JumpServer 环境要求:

2.3、安装方法介绍 官方提供了多种安装方法

三、Jumpserver平台使用

3.1、Admin登录

3.2、配置邮件通知

3.3、创建平台登录用户

3.3.1、权限划分

3.3.2、创建组

3.4、 新建jumpserver四个用户登录组

3.4、Jumpserver资产管理

3.4.1、创建资产树

3.4.2、登录jumpserver的普通用户

3.4.3、jumpserver用户授权资产

3.5、创建系统用户授权(登录服务器)

3.5.1、创建管理用户

3.5.2、创建普通系统用户

3.5.3、授权系统用户

3.5.4、前端验证系统登录

3.5.5、通过命令行ssh登录

3.6、创建系统审计员

4.1、管理应用(mysql)

4.1.1、mysql数据库创建

4.1.2、添加应用资产

九、3版本快速配置

相关文章

2.3、安装方法介绍官方提供了多种安装方法

3.4、新建jumpserver四个用户登录组