搭建jumperserver堡壘機管理萬台服務器-2

本文轉載自查看原文 2019-09-24 14:23 461 linux運維項目

搭建jumperserver堡壘機管理萬台服務器-2

1 Jumpserver堡壘機概述-部署Jumpserver運行環境

2 安裝Coco組件

3 安裝Web-Terminal前端-Luna組件-配置Nginx整合各組件

4 jumpserver平台系統初始化

5 實戰：使用jumpserver 管理數萬台服務器

部署准備：

序號	服務器名	IP	角色
1	k5	10.27.17.62	jumbserver 、redis、mariadb、koko、Web Terminal
2

4.1 jumpserver平台系統初始化

4.2 配置郵件發送服務器

成功后，需要點 “提交”

注：配置完后，需要重啟一下服務。不然后期創建用戶，收不到郵件。

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms stop all -d

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms start all -d

更新設置成功, 請手動重啟程序

如果未開通自己郵箱要開啟smtp和pop3服務須要自己開啟一下

開啟POP3/SMTP/IMAP服務方法：

4.5 使用jumpserver 管理王者榮耀數萬台游戲服務器

4.5.1 用戶管理

1、添加用戶組。

用戶名即 Jumpserver 登錄賬號。用戶組是用於資產授權，當某個資產對一個用戶組授權后，這個用戶組下面的所有用戶就都可以使用這個資產了。角色用於區分一個用戶是管理員還是普通用戶。

點擊用戶管理 —> 查看用戶組 —> 添加用戶組

2、添加用戶

點擊用戶管理 —> 用戶列表 —> 創建用戶

其中，名稱是真實姓名，用戶名即 Jumpserver 登錄賬號。

成功提交用戶信息后，Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱。

設置ssh 密鑰，用戶自己生成SSH 密鑰，方便后期登錄：我在自己的另一台linux上，使用hss用戶生成自己的ssh密鑰。

(py3) [root@k5 nginx]# useradd hss123

(py3) [root@k5 nginx]# echo 123456|passwd --stdin hss123

更改用戶 hss123 的密碼。

passwd：所有的身份驗證令牌已經成功更新。

(py3) [root@k5 nginx]# su - hss123

Attempting to create directory /home/hss123/perl5

[hss123@k5 ~]$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key (/home/hss123/.ssh/id_rsa):

Created directory '/home/hss123/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/hss123/.ssh/id_rsa.

Your public key has been saved in /home/hss123/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:kma1W3qKlbAOTiKAI0WektjJennKfg9T3K7cTzHcC5M hss123@k5

The key's randomart image is:

+---[RSA 2048]----+

| . |

|.* o |

|+ B . |

|.+ . . + o o |

|* o . O S E . |

|o+ o + = = = . |

|. + = . * o . |

| o +.* = + |

| ....* o.. |

+----[SHA256]-----+

[hss123@k5 ~]$

[hss123@k5 ~]$ cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5J9+wH2j1Pr0zTGCTiSM3ny8lfBE+CIeD1XfdD1RSQlhribNV4Fs0/fftEol0RV25wFCPtiVjlJ3cKwr8UmYBRCH9Shhq2RtJabyeDvXwCREHHjg8rPA24+FC2jwxQlHby1q8RNV2S8i+dK9ss+nvaFvCjU0Jc6Z1QtjB01ypTiY7pPHJHscEf5KO8Gazh0SFtrXzJVPWatYO7OtjBdcYMU4WdHpi78TEJd1jRa+0ei1WYQiqR0NeqhO+5/z/lJiUo7zwaojoPyaIu3JSP5NBclHBLlHqBlb//QGvf+4mv+7/jkzO2bI5x+lNK/X8s41TdqMR+GR5v5glgYSnWAWf hss123@k5

4.5.2 編輯資產樹添加節點

節點不能重名，右擊節點可以添加、刪除和重命名節點，以及進行資產相關的操作。

4.5.3 創建管理用戶

Jumpserver里各個用戶的說明：

管理用戶是服務器的 root，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。

前提，你的西南片區-服務器節點中所有的服務器root用戶密碼都是：123這樣就可以使用此root用戶管理服務器。

4.5.4 創建系統用戶

系統用戶是 Jumpserver 跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶， Jumpserver使用系統用戶登錄資產。

系統用戶的 Sudo 欄填寫允許當前系統用戶免sudo密碼執行的程序路徑，如默認的/sbin/ifconfig，意思是當前系統用戶可以直接執行 ifconfig 命令或 sudo ifconfig 而不需要輸入當前系統用戶的密碼，執行其他的命令任然需要密碼，以此來達到權限控制的目的。

# 此處的權限應該根據使用用戶的需求匯總后定制，原則上給予最小權限即可。

系統用戶創建時，如果選擇了自動推送 Jumpserver 會使用 Ansible 自動推送系統用戶到資產中，如果資產(交換機、Windows )不支持 Ansible, 請手動填寫賬號密碼。

Linux 系統協議項務必選擇 ssh 。如果用戶在系統中已存在，請去掉自動生成密鑰、自動推送勾選。

增加一個：檢查服務器運行狀態的用戶： user 權限： /sbin/ifconfig,/usr/bin/top,/usr/bin/free

再加一個：系統管理員用戶：manager

4.5.5 創建資產

點擊頁面左側的“資產管理”菜單下的“資產列表”按鈕，查看當前所有的資產列表。

點擊頁面左上角的“創建資產”按鈕，進入資產創建頁面，填寫資產信息。

IP 地址和管理用戶要確保正確，確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。資產的系統平台也務必正確填寫。公網 IP 信息只用於展示，可不填，Jumpserver 連接資產使用的是 IP 信息。

開啟虛擬機hero5, 這台機器當成資源添加平台中。

hero5-西南片區 10.27.17.35

如果資產不能正常連接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上。

4.5.6 網域列表

網域功能是為了解決部分環境無法直接連接而新增的功能，原理是通過網關服務器進行跳轉登錄。

這個功能，一般情況不用到。

4.5.7 創建授權規則

節點，對應的是資產，代表該節點下的所有資產。

用戶組，對應的是用戶，代表該用戶組下所有的用戶。

系統用戶，及所選的用戶組下的用戶能通過該系統用戶使用所選節點下的資產。

節點，用戶組，系統用戶是一對一的關系，所以當擁有 Linux、Windows 不同類型資產時，應該分別給 Linux 資產和 Windows 資產創建授權規則。

注：這一條授權的含意是：只要是“西南片區運維部門”組中的人，對節點“西南片區-服務器”中的所有服務器，擁有“系統管理員用戶”的權限。

授權成功后，你自己手動到hero5,6,7上查看：

[root@k6 ~]# tail -n 5 /etc/passwd
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
chrony:x:994:992::/var/lib/chrony:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
manager:x:1000:1000::/home/manager:/bin/bash

#自動推送一個帳號，自動在資產服務器上創建系統用戶

[root@k6 ~]# visudo