1.系統設置
a.基本設置,這里的ip是jumpserver所在的地址
b.郵件設置,得在qq郵箱中啟用授權碼
可參考:https://service.mail.qq.com/cgi-bin/help?subtype=1&id=28&no=1001256
2.創建用戶
創建用戶組
創建用戶,用戶名寫成英文的目的是,一會得拿它在xshell上登錄跳板機
填寫qq郵箱,我這收不到郵件,開啟了SMTP也不行,用163郵箱可以收到,點擊鏈接設置密碼
用戶名:zhouxingchi,密碼:zhouxingchi123456,登錄jumpserver完善信息,配置ssh公鑰:可以用xshell生成密鑰對,也可以點擊這里的自動配置,自動配置密鑰我沒有調通,這里演示使用xshell生成密鑰對.
點擊工具-->新建用戶密鑰生成向導,密鑰名zhouxingchi,密鑰密碼root23456,用這個私鑰生成它的公鑰--zhouxingchi.pub,將內容粘貼到個人信息中,一定要粘貼完整,這算是一個小坑.
用xhsell連接到跳板機,端口號2222,可在配置文件中自定義該端口
用戶名zhouxingchi,私鑰名zhouxingchi,密碼為該私鑰密碼root123456
此時還沒有創建系統用戶、管理用戶,就可以用jumpserver用戶登錄跳板機了,只是還沒有和系統用戶做映射
3.創建管理用戶
a.在所有客戶機上創建manager用戶,這里以10.0.0.51為例進行演示
# 對這個用戶提權,讓其充當root,把jumpserver的root公鑰拷到該用戶的authorized_keys中 useradd manager echo manager123456|passwd --stdin manager visudo # 添加下面這行對manager用戶進行NOPASSWD授權 manager ALL=(ALL) NOPASSWD: ALL
b.在jumpserver服務器給root創建密鑰對,也可以是其它用戶
ssh-keygen cd /root/.ssh && sz id_rsa # 將生成的私鑰放到Windows桌面上 ssh-copy-id -i ~/.ssh/id_rsa.pub -p 9999 manager@10.0.0.51 # 不能帶引號 # 在jumserver中用私鑰連接客戶端的機器 ssh -p '9999' 'manager@10.0.0.51'
此時不需要密碼即可登錄客戶端
4.創建資產
直接按生產環境要求進行配置,我這里將端口修改為9999,不允許root登錄,不管用密碼還是密鑰都不能登,監聽在內網ip上,這下誰都連不上了,除了擁有外網ip的跳板機,而跳板機只能用VPN連,穩的一匹.
sed -ir '13 iPort 9999\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no' /etc/ssh/sshd_config
跳板機的公鑰拷到客戶機之后,才能聯通,這里創建了兩個web,一個數據庫
5.創建系統用戶
第二步創建的跳板機用戶只存於在跳板機上,來一個新員工,我就創建一個,而系統用戶不在跳板機上,他存在於客戶機上,存在於所有客戶機嗎?看權限.
比如yunwei管理所有服務器:1-100,kaifa管理91-100,test管理81-90,這三個系統用戶:yunwei這個賬號存在於所有機器上,kaifa只存在於91-100,test只存在於81-90,來了個測試新員工-梁朝偉,我們需要做的是:在跳板機上創建liangchaowei,然后將其與test做個映射,他就能登錄這十台測試機了.
這樣做省事是省事了,但一個團隊的所有人只和一個系統用戶做映射,會發生混亂,一般是來一個新員工,不僅要創建跳板機用戶,還得創建系統用戶,這里演示第一種情況.
創建系統用戶--yunwei,自動生成密鑰,自動推送,創建完授權規則,跳板機會自動將系統用戶推送到關聯的機器,sudo這一項是你選一些系統命令,執行時不需要輸入密碼,這里我給ALL,在/etc/sudoers文件中以這種方式呈現:
yunwei ALL=(ALL) NOPASSWD: ALL
6.創建授權規則
兩個作用:一.將資產與系統用戶做關聯;二.將跳板機用戶與系統用戶做關聯
此時周星馳就有了所有機器的管理權限
參考博文:https://github.com/jumpserver/jumpserver/wiki