筆記內容:簡單使用jumpserver
筆記日期:2018-01-22
- 23.9 創建jumpserver普通用戶
- 23.10 添加機器
- 23.11 添加系統用戶並授權
- 23.12 添加授權規則
- 23.13 命令行登錄jumpserver
本文是上一篇講解jumpserver安裝文章的后續,上一篇的鏈接如下:
23.9 創建jumpserver普通用戶
jumpserver的普通用戶是用於登錄web管理頁面以及命令行登錄該堡壘機的用戶,首先創建一個用戶組:
然后再創建一個用戶:
創建完成:
用戶的密碼會發送到你填寫的郵箱地址上:
初始密碼比較復雜不好記,你可以點擊用戶列表頁面中的 “編輯” 按鈕修改密碼:
修改完成后試一下能否成功登錄這個新建的用戶:
登錄成功:
下載該用戶的密鑰,用於之后通過終端登錄:
下載成功:
這個密鑰有一個密碼,該密鑰的密碼會在創建用戶的時候,通過郵件的形式發送到你填寫的郵箱地址上。如果郵件發送失敗或者忘記了該密碼的話,則需要到管理員用戶上重新生成一個密鑰:
生成密鑰后,該密鑰的密碼會在彈窗上顯示,密碼比較復雜最好記錄一下:
然后再到普通用戶上重新下載密鑰即可:
23.10 添加機器
先添加主機組:
然后就是添加資產,也就是添加主機:
添加完成:
在上一篇文章中,我們創建了該主機的管理用戶,我們現在只需要到該主機上配置jump用戶的權限就能夠在jumpserver上管理這台主機了。在客戶機配置jump用戶的sudo權限:
[root@localhost ~]# visudo
## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
jump ALL=(ALL) NOPASSWD: ALL # 添加這一句,注意添加的位置保存退出后,到jumpserver上更新這台主機的信息:
能夠正常更新信息代表我們上一篇文章中創建的管理用戶沒有問題。
23.11 添加系統用戶並授權
在添加系統用戶之前,我們需要先生成一對密鑰,一會給要添加系統的用戶使用:
[root@localhost ~]# cd .ssh/
[root@localhost ~/.ssh]# ssh-keygen -f testuser
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in testuser.
Your public key has been saved in testuser.pub.
The key fingerprint is:
c4:78:23:66:4b:61:59:b6:4d:f2:96:b5:55:cc:0b:07 root@localhost.localdomain
The key‘s randomart image is:
+--[ RSA 2048]----+
| oo+ . .Eo+.|
| ..= * o + .o|
| * * = . o .|
| + = o . |
| . S |
| |
| |
| |
| |
+-----------------+
[root@localhost ~/.ssh]# ls
testuser testuser.pub
[root@localhost ~/.ssh]# 這個系統用戶就是我們通過跳板機去登錄的那個用戶,如下添加系統用戶:
添加完成之后我們需要把這個用戶推送到客戶機上,這個推送其實就是幫我們在客戶機上自動創建這個testuser用戶,並且還會根據我們粘貼的私鑰生成一個公鑰:
這個自動創建用戶的過程以及其他對客戶機的操作是由我們之前創建的管理員用戶jump完成的。
推送成功:
然后到客戶機上查看是否有這個用戶:
[root@localhost ~]# cat /etc/passwd |grep testuser
testuser:x:1002:1002::/home/testuser:/bin/bash
[root@localhost ~]# cat /home/testuser/.ssh/authorized_keys # 可以看到公鑰也生成了
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDarC71wVO4/7vaCGopsCNzGjtImqApE+SgXwS60syVkUXiklDg+SsdGCugNuaq/0D/mvkzbhOwlBFpPAuUfrmZS0242b58Z6J7CaMTOTExIRVXpyqG2iAmUO5EnjRU+WcU+JNZyuGpkQeOu9gmjqQVceaPkghtW10KfcpQbkq/VU6m9ZNNLEKvk9ukZ+WOxy6mBGLJ6rS16o8BfFx7HUu1BF4V1FmVmfuZrARHW0Za+ock+8Q41mFLYBel3NQQSWkPeOIm7FtBPrHTkFWqhbTJ1KfqGx3KIwWqJpUWDih026+FopVMjnLSBCJ/I4wIv1GWW00ZrhCUmc+TcEwSSAn5 jumpserver@localhost.localdomain
[root@localhost ~]# 有這個用戶就代表推送成功。
當我們需要將一個系統用戶推送到多個客戶機上,但是不知道是否全部推送成功又懶得一個個的去查看時,可以在jumpserver上我們可以查看到該系統用戶的推送成功、失敗以及未推送的記錄:
如果使用jumpserver的過程中出現問題,但是頁面上沒有輸出信息,可以到日志目錄下查看它的日志文件:
[root@localhost ~]# cd /home/jumpserver/logs/
[root@localhost /home/jumpserver/logs]# ls
jumpserver.log README.md
[root@localhost /home/jumpserver/logs]#tail -n5 jumpserver.log23.12 添加授權規則
授權規則是用來把jumpserver用戶和客戶機系統用戶關聯起來的一個映射:
添加成功:
Jumpserver里各個用戶的說明:
23.13 命令行登錄jumpserver
我們除了可以使用瀏覽器登錄jumpserver,還可以使用命令行登錄,例如我們之前創建了一個test2用戶,現在我們就來在命令行上登錄這個用戶。
1.在終端上創建一個連接:
2.添加之前下載的密鑰:
3.導入密鑰:
4.輸入密鑰的密碼:
5.選擇該密鑰:
6.登錄時還需要再輸入密鑰密碼,這次輸入之后點記住密碼下次就不需要再輸入了:
7.登錄成功:
登錄成功后,我們可以在跳板機上登錄客戶機:
還可以通過跳板機批量執行命令什么的: