開源堡壘機jumpserver的配置和使用

 

開源跳板機jumpserver配置和使用

http://docs.jumpserver.org/zh/docs/quick_start.html#id9

系統設置

基本設置

# 修改url 的"localhost"為你的實際url地址, 否則郵件收到的地址將為"localhost"也無法創建新用戶

 

郵件設置

# 點擊頁面上邊的"郵件設置", 進入郵件設置頁面

# 默認使用 25 端口, 不勾選 SSL 和 TLS; 如果需要勾選 SSL, 端口需要修改成 465; 如果需要勾選 TLS, 端口需要改成 587
			

# 不可以同時勾選 SSL 和 TLS

# 配置郵件服務后, 點擊頁面的"測試連接"按鈕, 如果配置正確, Jumpserver 會發送一條測試郵件到您的 SMTP 賬號郵箱里面, 確定收到測試郵件后點擊保存即可使用

qq屏蔽的厲害   163和阿里雲企業郵箱OK

 

 

LDAP設置

# 如果不需要使用"ldap"用戶登陸 jumpserver, 可以直接跳過, 不需要設置

# 先"測試"通過才能保存

# DN 和 OU 一定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org")

# 注：可借用第三方 gui 工具查看 ldap 用戶的屬性, 新版本已經支持中文名登錄, 即cn=中文也可正常使用

http://docs.jumpserver.org/zh/docs/faq_ldap.html

 

終端設置

# "密碼認證"和"密鑰認證"是 SSH 連接跳板機時所使用的認證方式(都不選會造成無法使用 SSH 方式連接登錄跳板機, 不影響 web 登錄)

# "Telnet成功正則表達式" telnet設備登陸失敗需要設置

# "命令存儲""錄像存儲"位置設置

# "命令存儲""錄像存儲"修改后, 需要在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄, 然后重啟 Jumpserver 服務

# 設置后重啟 Coco 才能生效

 

 

安全設置

# "MAF二次認證"勾選會開啟全局強制"MFA", 所有 jumpserver 用戶必須使用動態口令進行認證登錄(即時生效)

# "限制登錄失敗"和"限制登錄時間"設置需要重啟 jumpserver 才能生效

# "SSH最大空閑時間"設置需要重啟 coco 才能生效

# "密碼校驗規則"設置立即生效

MFA下面細說，這里先跳過 

 

 

用戶管理

創建Jumpserver用戶

# 點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面

# 點擊頁面左上角"創建用戶"按鈕, 進入創建用戶頁面, (也可以通過右上角導入模版進行用戶導入)

# 其中, 用戶名即 Jumpserver 登錄賬號(具有唯一性, 不能重名)。名稱為頁面右上角用戶標識(可重復)

# 成功提交用戶信息后, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱

# 點擊郵件中的設置密碼鏈接, 設置好密碼后, 您就可以用戶名和密碼登錄 Jumpserver 了。

# 用戶首次登錄 Jumpserver, 會被要求完善用戶信息, 按照向導操作即可。

注：MFA 即 Google Authenticator, 使用此軟件需要APP時間與瀏覽器時間同步

 

資產管理

編輯資產樹

# "節點"不能重名, 右擊節點可以添加、刪除和重命名節點, 以及進行資產相關的操作

注：如果有 linux 資產和 windows 資產, 建議先建立 Linux 節點與 Windows 節點, 不然"授權"時不好處理

 

 

創建管理用戶

我這里是admin用戶

# "管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件可以隨意設置一個

# "名稱" 不能重復

# "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

 

 

創建系統用戶

# "系統用戶"是 Jumpserver 跳轉登錄資產時使用的用戶, 用戶使用該用戶登錄資產

# "自動生成密碼"、"自動推送"、"Sudo"等功能需要對應資產的"管理用戶"是且有root權限, 否則自動推送失敗

# ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限,		

# ssh 協議如果創建的"系統用戶"已在資產上面存在,"推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限)		

# ssh 協議的 "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

# 這里簡單舉幾個 "sudo" 設置例子

Sudo /bin/su  # 當前系統用戶可以免sudo密碼執行sudo su命令

Sudo /usr/bin/git, /usr/bin/php,
				/bin/cat,
				/bin/more,
				/bin/less,
				/usr/bin/tail

# 當前系統用戶可以免sudo密碼執行git php cat
				more less tail

Sudo !/usr/bin/yum  # 當前系統用戶不可以執行sudo yum命令

# 此處的權限應該根據使用用戶的需求匯總后定制, 原則上給予最小權限即可

# "系統用戶"創建時, 如果選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中,
				"root"用戶不支持推送

# 如果資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的賬號及賬號密碼

# 如果想讓用戶登錄資產時自己輸入密碼, 可以在創建系統用戶時選擇"手動登錄"
			

 

創建命令過濾

如無需要, 可忽略此步驟, 目前僅支持ssh 與telnet 協議

# "系統用戶"可以綁定一些"命令過濾器"，一個過濾器可以定義一些"規則"
			

# 當"用戶"使用這個"系統用戶"登錄資產，然后執行一個命令 這個命令需要被綁定過濾器的所有規則匹配，高優先級先被匹配

# 當一個規則匹配到了，如果規則的動作是 "允許" 這個命令會被放行； 如果規則的動作是 "禁止" 命令將會被禁止執行； 否則就匹配下一個規則，如果最后沒有匹配到規則，則允許執行

 

 

創建標簽

 

創建資產

# 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前所有的資產列表。

# 點擊頁面左上角的"創建資產"按鈕, 進入資產創建頁面, 填寫資產信息。

# IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。

# 資產的系統平台也務必正確填寫。公網 IP 信息只用於展示, 可不填, Jumpserver 連接資產使用的是 IP 信息。

# 資產創建信息填寫好保存之后, ssh 協議資產可"測試資產"是否能正確連接, 其他協議暫不支持

注：被連接資產需要"python"組件, 且版本大於等於2.6, Ubuntu等資產默認不允許root用戶遠程ssh登錄, 請自行處理

# 如果資產不能正常連接, 請檢查"管理用戶"的用戶名和密鑰是否正確以及該"管理用戶"是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上

SSH 協議參考SSH 協議資產連接說明

RDP 協議參考RDP 協議資產連接說明

Telnet 協議參考Telnet 協議資產連接說明

批量上傳CSV windows環境OK,MAC失敗了

調整資產樹

 

創建授權規則

為用戶分配資產

# "名稱", 授權的名稱, 不能重復

# "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組

# "資產"和"節點"二選一, 選擇節點會包含節點下面的所有資產

# "系統用戶", 及所選的用戶或用戶組下的用戶能通過該系統用戶使用所選節點或者節點下的資產

# 用戶(組), 資產(節點), 系統用戶是一對一的關系, 所以當擁有 Linux、Windows 不同類型資產時, 應該分別給 Linux 資產和 Windows 資產創建授權規則

 

用戶登錄

登錄 Jumpserver

# 用戶只能看到自己被管理員授權了的"資產", 如果登錄后無資產, 請聯系管理員進行確認

連接資產

# 在我的資產點擊資產右邊的 "連接" 快速連接資產

# 也可以點擊左側欄的 "Web終端" 

 

斷開資產

# 點擊頁面頂部的 "Server" 按鈕會彈出選個選項, 第一個斷開所選的連接, 第二個斷開所有連接。

文件管理

# 點擊 "文件管理"

# 先在左邊選擇資產, 目前只支持自動登錄的 SSH 協議資產

# 也可以使用 sftp 方式進行文件管理

新建一個目錄，默認在/tmp下面

 

會話管理

在線會話

歷史會話

可以回放一下，這個666

命令記錄

作業中心

任務列表

作業是 Jumpserver 向其所管理下的資產發送的指令, 例如, 測試資產可連接性、獲取資產硬件信息、測試管理用戶可連接性和測試系統用戶可連接性等命令。默認展示最近7天的作業記錄。

批量任務

 

日志審計

登錄日志

FTP日志

操作日志

我確實改了，禁止reboot

改密日志

批量命名日志

 

 

安全-MFA登陸驗證

簡單的用戶名密碼就能登陸，太危險了。加一個MFA隨機驗證碼這種黑科技限制一下。

Multi-Factor Authentication (MFA) 是一種簡單有效的最佳安全實踐方法，它能夠在用戶名和密碼之外再額外增加一層安全保護。

啟用 MFA 后，用戶登錄阿里雲網站時，系統將要求輸入用戶名和密碼（第一安全要素），然后要求輸入來自其MFA 設備的動態驗證碼（第二安全要素），雙因素的安全認證將為您的賬戶提供更高的安全保護

虛擬 MFA 設備是能產生6 位數字認證碼的應用程序，遵循基於時間的一次性密碼（TOTP）標准（RFC 6238）。

# 關閉也是在這里, 點擊此處的重置即可

# 部分安卓手機無法使用 Google Authenticator, 可以嘗試使用系統自帶的【掃一掃】工具

# 或者嘗試使用第三方軟件 (如 Microsoft Authenticator 、身份寶 等)  

MFA遺失無法登陸

# 普通用戶聯系管理員關閉MFA, 登錄成功后用戶在個人信息里面重新綁定.

# 如果管理員遺失無法登陸, 修改數據庫 users_user 表對應用戶的 otp_level 為 0, 重新登陸綁定即可

$ mysql -uroot

> use jumpserver;

>
				update users_user set otp_level='0' where username='admin';  # admin 為你要修改的用戶

 

# 如果在系統設置里面開啟的 MFA 二次認證, 需要修改數據庫 settings 表 SECURITY_MFA_AUTH 的 value 值為 false

mysql -uroot

> use jumpserver;

>
update settings set value='false' where name='SECURITY_MFA_AUTH';