Jumpserver 是一款由python編寫完全開源的跳板機(堡壘機)系統,實現了跳板機應有的功能。基於ssh協議來管理,客戶端無需安裝agent。此文簡要介紹實際操作時,簡單配置過程。
Jumpserver基於CentOS7安裝,可參考⬇️CentOS7一步步安裝Jumpserver堡壘機(官方教程版)
創建Jumpserver用戶
1.點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面
2.點擊頁面左上角"創建用戶"按鈕, 進入創建用戶頁面, (也可以通過右上角導入模版進行用戶導入)
3.其中, 用戶名即 Jumpserver 登錄賬號(具有唯一性, 不能重名)。名稱為頁面右上角用戶標識(可重復)
4.成功提交用戶信息后, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱
5.點擊郵件中的設置密碼鏈接, 設置好密碼后, 您就可以用戶名和密碼登錄 Jumpserver 了。
6.用戶首次登錄 Jumpserver, 會被要求完善用戶信息, 按照向導操作即可。
添加用戶
編輯資產樹並創建資產
- "節點"不能重名, 右擊節點可以添加、刪除和重命名節點, 以及進行資產相關的操作
- 注:如果有 linux 資產和 windows 資產, 建議先建立 Linux 節點與 Windows 節點, 不然"授權"時不好處理
資產樹
- 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前所有的資產列表。
- 點擊頁面左上角的"創建資產"按鈕, 進入資產創建頁面, 填寫資產信息。
- IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。
- 資產的系統平台也務必正確填寫。公網 IP 信息只用於展示, 可不填, Jumpserver 連接資產使用的是 IP 信息。
添加資產
資產創建信息填寫好保存之后, ssh 協議資產可"測試資產"是否能正確連接, 其他協議暫不支持
- 注:被連接資產需要"python"組件, 且版本大於等於2.6, Ubuntu等資產默認不允許root用戶遠程ssh登錄, 請自行處理
- 如果資產不能正常連接, 請檢查"管理用戶"的用戶名和密鑰是否正確以及該"管理用戶"是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上
創建管理用戶
- "管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件可隨意設置一個
- "名稱" 不能重復
- "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰
管理用戶
創建系統用戶
- "系統用戶"是 Jumpserver 跳轉登錄資產時使用的用戶, 用戶使用該用戶登錄資產
- "自動生成密碼"、"自動推送"、"Sudo"等功能需要對應資產的"管理用戶"是且有root權限, 否則自動推送失敗
- ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限
- ssh 協議如果創建的"系統用戶"已在資產上面存在, "推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限)
- ssh 協議的 "ssh私鑰" 如果私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰
這里簡單舉幾個 "sudo" 設置例子
Sudo /bin/su # 當前系統用戶可以免sudo密碼執行sudo su命令
Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail當前系統用戶可以免sudo密碼執行git php cat more less tailSudo !/usr/bin/yum # 當前系統用戶不可以執行sudo yum命令
- 此處的權限應該根據使用用戶的需求匯總后定制, 原則上給予最小權限即可
- "系統用戶"創建時, 如果選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中, "root"用戶不支持推送
- 如果資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的賬號及賬號密碼
- 如果想讓用戶登錄資產時自己輸入密碼, 可以在創建系統用戶時選擇"手動登錄"
系統用戶
創建授權規則
- "名稱", 授權的名稱, 不能重復
- "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組
- "資產"和"節點"二選一, 選擇節點會包含節點下面的所有資產
- "系統用戶", 及所選的用戶或用戶組下的用戶能通過該系統用戶使用所選節點或者節點下的資產
- 用戶(組), 資產(節點), 系統用戶是一對一的關系, 所以當擁有 Linux、Windows 不同類型資產時, 應該分別給 Linux 資產和 Windows 資產創建授權規則
一般情況下, 資產授權給個人, 節點授權給用戶組, 一個授權只能選擇一個系統用戶
授權規則
用戶登錄
用戶只能看到自己被管理員授權了的"資產", 如果登錄后無資產, 請聯系管理員進行確認
用戶登錄
連接資產
- 在我的資產點擊資產右邊的 "連接" 快速連接資產
- 也可以點擊左側欄的 "Web終端"
連接資產
連接window系統
windows系統
連接linux系統
linux系統
以上就是 Jumpserver 的簡易配置。