堡壘機jumpserver測試記錄--使用

快速入門

截圖就不放了，官網都有，這里只是就遇到的一些問題做下記錄

阿里雲相關鏈接

https://www.aliyun.com/product/ecs?source=5176.11533457&userCode=kv73ipbs&type=copy

必備條件

• 一台安裝好 Jumpserver 系統的可用主機（堡壘機）
• 一台或多台可用的 Linux、Windows資產設備（被管理的資產）

一、系統設置

1.1 基本設置

# 修改 URL 的 localhost 為你的實際 url 地址，否則郵件收到的地址將為 localhost
修改完 url 地址后需要重啟 jumpserver 服務（重啟才能生效，后續會解決這個問題）

1.2 郵件設置

# 點擊頁面上邊的"郵件設置" TAB ，進入郵件設置頁面
# 配置郵件服務后，點擊頁面的"測試連接"按鈕，如果配置正確，Jumpserver 會發送一條測試郵件到
您的 SMTP 賬號郵箱里面，確定收到測試郵件后點擊保存即可使用。

如果是163的郵箱，當傳入發送郵箱正確的用戶名和密碼時，總是收到到：550 User has no permission這樣的錯誤，其實我們用Java發送郵件時相當於自定義客戶端根據用戶名和密碼進行登錄，然后使用SMTP服務發送郵件。但新注冊的163郵件默認是不開啟客戶端授權驗證的（對自定的郵箱大師客戶端默認開啟），因此登錄總是會被拒絕，驗證沒有權限。解決辦法是進入163郵箱，進入郵箱中心——客戶端授權密碼，選擇開啟即可
有的用戶由於開啟了授權碼，如果輸入郵箱登錄密碼的話會報535 Error：authentication failed

1.3 LDAP設置

# 如果不需要使用 ldap 登陸 jumpserver，可以直接跳過，不需要設置
# 先測試通過才能保存
# DN 和 OU 一定要完整(如DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org)
注：可借用第三方 gui 工具查看 ldap 用戶的屬性，新版本已經支持中文名登錄，即cn=中文也可正常使用

1.4 終端設置

# 命令記錄保存到 elastic
{"default": {"TYPE":"server"}, "ali-es": {"TYPE": "elasticsearch", "HOSTS": ["http://elastic:changeme@localhost:9200"]}}

# 錄像存儲在 oss，Jumpserver 系統設置-終端設置 錄像存儲
{"default": {"TYPE": "server"}, "cn-north-1": {"TYPE": "s3", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "REGION": "cn-north-1"}, "ali-oss": {"TYPE": "oss", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "ENDPOINT": "http://oss-cn-hangzhou.aliyuncs.com"}}

注：修改后，需要修改在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄，然后重啟 Jumpserver 

 

二、創建用戶

2.1 創建 Jumpserver 用戶

# 點擊頁面左側“用戶列表”菜單下的“用戶列表“，進入用戶列表頁面
# 點擊頁面左上角“創建用戶”按鈕，進入創建用戶頁面，（也可以通過右上角導入模版進行用戶導入）
# 其中，用戶名即 Jumpserver 登錄賬號（具有唯一性，不能重名）。名稱為頁面右上角用戶標識（可重復）
# 成功提交用戶信息后，Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱
# 點擊郵件中的設置密碼鏈接，設置好密碼后，您就可以用戶名和密碼登錄 Jumpserver 了。
# 用戶首次登錄 Jumpserver，會被要求完善用戶信息，按照向導操作即可。
注：MFA 即 Google Authenticator ，使用此軟件需要APP時間與瀏覽器時間同步

三、創建資產

3.1 創建 Linux 資產

創建資產必須要先添加管理用戶（資產管理--管理用戶）才可以

3.1.1編輯資產樹

# 節點不能重名，右擊節點可以添加、刪除和重命名節點，以及進行資產相關的操作
注：如果有 linux 資產和 windows 資產，建議先建立 Linux 節點與 Windows 節點，不然授權時不好處理

 

此時UI狀態是不能刪除的，右鍵添加節點到資產，不創建然后關閉，后面有了括號即可刪除。

 

3.1.2創建管理用戶

（即Linux--root）

# 管理用戶是資產上的 root，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該用 戶來推送系統用戶、獲取資產硬件信息等 # 如果使用ssh私鑰管理資產，需要先在資產上設置，這里舉個例子供參考（本例登錄資產使用root為例） (1). 在資產上生成 root 賬戶的公鑰和私鑰 $ ssh-keygen -t rsa # 默認會輸入公鑰和私鑰文件到 ~/.ssh 目錄 (2). 將公鑰輸出到文件 authorized_keys 文件，並修改權限 $ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys $ chmod 400 ~/.ssh/authorized_keys (3). 打開RSA驗證相關設置 $ vim /etc/ssh/sshd_config #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys
----->
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys (4). 重啟 ssh 服務 $ service sshd restart (5). 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中
[root@uu .ssh]# ll
總用量 16
-r--------. 1 root root  389 7月  10 15:23 authorized_keys
-rw-------. 1 root root 1675 7月  10 15:23 id_rsa
-rw-r--r--. 1 root root  389 7月  10 15:23 id_rsa.pub
-rw-r--r--. 1 root root  401 7月  10 13:32 known_hosts
(py3) [root@uu .ssh]# cat id_rsa
-----BEGIN RSA PRIVATE KEY-----
MIIEo..........rAN+0tPySq17YPAnFxYxOWhbUA3t5Bnr
-----END RSA PRIVATE KEY-----
將顯示的私鑰拷貝復制保存在一個文件中，上傳即可
數量多的話可以考慮使用rsync推送到統一設備並重命名，然后批量下載后在jumpserver挨個上傳。 # 這樣就可以使用 ssh私鑰 進行管理服務器 # 名稱可以按資產樹來命名。用戶名root。密碼和 SSH 私鑰必填一個 

3.1.3 創建系統用戶

（Linux--普通用戶，資產上要存在這一賬戶）

# 系統用戶是 Jumpserver 跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶
# 系統用戶的 Sudo 欄設定用戶的 sudo 權限
# 系統用戶是 Jumpserver跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶，如 web, sa, dba(`ssh web@some-host`), 而不是使用某個用戶的用戶名跳轉登錄服務器(`ssh xiaoming@some-host`); 簡單來說是 用戶使用自己的用戶名登錄Jumpserver, Jumpserver使用系統用戶登錄資產。 系統用戶創建時，如果選擇了自動推送 Jumpserver會使用ansible自動推送系統用戶到資產中，如果資產(交換機、windows)不支持ansible, 請手動填寫賬號密碼。 目前還不支持Windows的自動推送

# 這里簡單舉幾個例子
Sudo /bin/su  # 當前系統用戶可以免sudo密碼執行sudo su命令

Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 當前系統用戶可以免sudo密碼執行git php cat more less tail

Sudo !/usr/bin/yum  # 禁止執行 yum 權限

# 此處的權限應該根據使用用戶的需求匯總后定制，原則上給予最小權限即可

# 下圖為不允許用戶執行一些危險的操作，允許其他的所有權限

3.1.4 創建資產

# 點擊頁面左側的“資產管理”菜單下的“資產列表”按鈕，查看當前所有的資產列表。
# 點擊頁面左上角的“創建資產”按鈕，進入資產創建頁面，填寫資產信息。
# IP 地址和管理用戶要確保正確，確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。
資產的系統平台也務必正確填寫。公網 IP 信息只用於展示，可不填，Jumpserver 連接資產使用的是 IP 信息。

3.1.5 網域列表

# 網域功能是為了解決部分環境無法直接連接而新增的功能，原理是通過網關服務器（從資產里選擇一台）進行跳轉登錄
# 點擊頁面左側的“網域列表”按鈕，查看所有網域列表
# 點擊頁面左上角的“創建網域”按鈕，進入網域創建頁面，選擇資產里用作網域的網關服務器
注：混合雲適用

# 點擊網域的名稱，進入網域詳情列表。
# 點擊頁面的“網關”按鈕，選擇網關列表的“創建網關”按鈕，進入網關創建頁面，填寫網關信息。
# IP信息一般默認填寫網域資產的IP即可（如用作網域的資產有多塊網卡和IP地址，選能與jumpserer通信的任一IP即可）
注：用戶名與密碼可以使用網關資產上已存在的任一擁有執行 ssh 命令權限的用戶

注：保存信息后點擊測試連接，確定設置無誤后到資產列表添加需要使用網關登錄的資產即可。

3.2 創建 Windows 資產

3.2.1 創建 Windows 系統管理用戶

注：同 Linux 系統的管理用戶一樣，名稱可以按資產樹來命名，用戶名是管理員用戶名，密碼是管理員的密碼

3.2.2 創建 Windows 系統系統用戶

# 目前 Windows 暫不支持自動推送，用戶必須在系統中存在且有權限使用遠程連接，請確認資產的防火牆已經開放
注：Windows 資產協議務必選擇 rdp

# 如果想讓用戶登錄資產時自己輸入密碼，可以點擊系統用戶的名稱 點擊清除認證信息