什么是堡壘機
在特定網絡環境下,為了保障網絡和數據不受外界入侵和破壞,而運用各種技術手段,實時收集和監控網絡環境中的每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責。
我們又把堡壘機叫做跳板機。簡易的跳板機功能簡單,主要核心功能是遠程登錄服務器和日志審計。堡壘機還可以用來做資產管理、監控、用戶授權等。
| 虛擬機 | IP |
| jumpserver(搭建堡壘機) | 192.168.200.36 |
| client(需要添加的資產) | 192.168.200.37 |
| 端口 | 作用 | 說明 |
|---|---|---|
| 22 | SSH | SSH協議連接服務器 |
| 80,8080 | WEB服務 | 進入網頁的端口,可以自行修改 |
| 2222 | jumpserver終端連接端口 | 使用xshell等連接 |
一 安裝部署 - JumpServer
https://docs.jumpserver.org/zh/v2.17.0/install/setup_by_fast/
一鍵部署或者離線部署
一鍵部署:(有網的情況下)
# 默認會安裝到 /opt/jumpserver-installer-v2.17.0 目錄
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash
離線部署:
從飛致雲社區 下載最新的 linux/amd64 離線包, 並上傳到部署服務器的 /opt 目錄
cd /opt
tar -xf jumpserver-offline-installer-v2.17.0-amd64-81.tar.gz
cd jumpserver-offline-installer-v2.17.0-amd64-81
# 安裝
./jmsctl.sh install
# 啟動
./jmsctl.sh start
完成后用IP進入到網頁中
用戶名和密碼都是 admin (也可以重設一下密碼)
出現該界面,即為搭建成功。
二 基礎環境配置
1.關閉防火牆
#systemctl stop firewalld 關閉防火牆
#systemctl disable firewalld 禁止開機自啟
#setenforce 0 臨時關閉selinux
#sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 永久關閉selinux
#yum install vim net-tools -y 安裝需要使用的工具
2.進入管理終端
在搭建堡壘機的服務器里輸入以下命令
ssh -p 2222 admin@127.0.0.1
#ssh 登錄協議
#-p 選擇登錄端口,jumpserver登錄端口為2222
#admin@127.0.0.1 #終端用戶名為admin,IP為本地IP127.0.0.1
#登錄密碼為你jumpserver登錄密碼
出現該界面即登錄成功。jumpserver完整的搭建成功
3.給管理終端設置ssh免密登錄
我們可以通過配置ssh秘鑰來進行免密登錄,輸入以下命令:
ssh-keygen #生成ssh秘鑰,公鑰。生成在/root/.ssh/下
cat /root/.ssh/id_rsa.pub #查看公鑰
#將復制的公鑰粘貼到指定位置
三 用戶管理
這個用戶是用來登錄Jumpserver堡壘機的。
1.創建一個普通用戶
用戶管理-用戶列表-創建
賬戶除了用戶組暫時不用填 認證——密碼策略——設置密碼
然后提交即可
2.資產管理
資產管理——系統用戶——特權用戶——創建
普通用戶和特權用戶的區別:普通用戶不是root管理員賬號,而特權用戶是。特權用戶可以獲得虛擬機的一些信息等。
設置名稱——選擇文件
ssh-keygen -f jumpserver2 #在當前目錄下,生成jumpserver2的公鑰私鑰。
然后在xftp中,將創立的私鑰拉出來
選擇文件——選中jumpserver2並且上傳——提交
3.創建資產
此時就要開始綁定服務器/虛擬機了。
右鍵Default——創建節點——進入新創建的節點——創建
注意:虛擬機名不需要和主機名一樣,虛擬機名不需要和主機名一樣
出現下面界面即創建資產成功(創建成功,但是並沒有進行綁定)
4.綁定資產
設置linux名稱——添加用戶——設置用戶密碼——visudo
ssh-copy-id -i jumpserver2.pub jumpserver2@192.168.200.37
#復制ssh到jumpserver2@192.168.200.37
然后就綁定成功了,不過需要進行測試。
四 權限管理
1.創建普通用戶
資產管理——系統用戶——普通用戶——創建——ssh
創建普通用戶,用戶名和密碼寫你虛擬機的。
權限管理——資產授權——創建
2.設置普通用戶
打開自動推送
3.管理頁面
web終端:
文件管理:
五 身份認證
1.創建用戶
用戶管理——用戶列表——創建
多創建幾個用戶,用來分配給用戶組。多創建幾個系統審計員和用戶
2.創建用戶組
然后提交
3.用戶權限說明
-
普通用戶權限:就是用來操作資產的普通用戶,無法查看儀表盤,日志等操作界面。
-
普通用戶的界面:普通用戶只有一個用戶界面。因為前面我們給用戶分配了資產,所以這里“我的資產”中有機器。批量命名/web終端/文件管理均可使用。前提是管理員分配了資產。
-
審計員權限:擁有普通用戶的權限,並且可以查看日志儀表盤等界面。
-
審計員用戶界面:和管理員一樣,他們也有兩個界面,一個管理界面一個用戶界面
