一、跳板機jumpserver簡介
1.什么是跳板機(堡壘機)
堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
簡單總結一句話:堡壘機是用來控制哪些人可以登錄哪些資產(事先防范和事中控制),以及錄像記錄登錄資產后做了什么事情(事后溯源.)。
集中控制、集中審計 提升運維的管理水平。
2.為什么要使用跳板機
為了高效和安全的進行管理每個服務器。
解決方案:搭建堡壘機環境作為線上服務器的登錄入口。
就是為了監控運維人員、開發人員等對服務器有操作權限的,防止他們做壞事,出了事故能夠快速的找到具體責任人。
3.跳板機的特性
精細化的管理,讓操作人員各司其職。
體系化的指令審計 讓操作更安全可控
支持多重身份驗證 禁止非法登錄和訪問
主機賬號統一管理,SSH密鑰對一鍵批量分發
4.核心功能
身份驗證 Authentication
賬號管理 Account
授權控制 Authorization
安全審計 Audit
5.jumpserver環境要求
硬件配置: 2個CPU核心, 4G 內存, 50G 硬盤(最低)
操作系統: Linux 發行版 x86_64
Python = 3.6.x
Mysql Server ≥ 5.6
Mariadb Server ≥ 5.5.56
Redis
6.jumpserver組件說明
JumpServer 為管理后台, 管理員可以通過 Web 頁面進行資產管理、用戶管理、資產授權等操作, 用戶可以通過 Web 頁面進行資產登錄, 文件管理等操作
koko 為 SSH Server 和 Web Terminal Server 。用戶可以使用自己的賬戶通過 SSH 或者 Web Terminal 訪問 SSH 協議和 Telnet 協議資產
Luna 為 Web Terminal Server 前端頁面, 用戶使用 Web Terminal 方式登錄所需要的組件
Guacamole 為 RDP 協議和 VNC 協議資產組件, 用戶可以通過 Web Terminal 來連接 RDP 協議和 VNC 協議資產 (暫時只能通過 Web Terminal 來訪問)
7.端口說明
JumpServer 默認 Web 端口為 8080/tcp, 默認 WS 端口為 8070/tcp, 配置文件 jumpserver/config.yml
koko 默認 SSH 端口為 2222/tcp, 默認 Web Terminal 端口為 5000/tcp 配置文件在 koko/config.yml
Guacamole 默認端口為 8081/tcp, 配置文件 /config/tomcat9/conf/server.xml
Nginx 默認端口為 80/tcp
Redis 默認端口為 6379/tcp
Mysql 默認端口為 3306/tcp
TCP JumpServer 8080
TCP koko 2222, 5000
TCP Guacamole 8081
TCP Db 3306
TCP Redis 6379
TCP Nginx 80
二、環境准備