JumpServer飞云堡垒机!核心配置与操作
堡垒机介绍
JumpServer是一款开源堡垒机,它遵循4A规范,是专业的运维安全审计系统。这款工具能够支持和管理多种类型的资产连接,包括但不限于SSH、Linux、Windows、Web、数据库以及Kubernetes等。
JumpServer的独特之处在于其提供无插件、分布式、多云、多租户、多人员和多安全的安全审计功能。这些功能连同云端存储和审计录像等特色服务一同为用户提供了全方位的安全保障。此外,JumpServer是基于docker的跳板机系统,可以实现ssh连接的身份认证、授权、访问控制等功能,为用户管理服务器权限和授权提供了便利。
系统用户 是JumpServer 登录资产时使用的账号,如 root ssh root@host,而不是使用该用户名登录资产(ssh admin@host)
特权/管理员用户 是资产已存在的, 并且拥有 高级权限 的系统用户, JumpServer 使用该用户来 推送系统用户、获取资产硬件信息等;
普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。
安装JumpServer
-
官网下载包
docker run -dit jumpserver/jumpserver /sbin/tini -- jumpserverd
登录JumpServer
- Web 访问
http://10.12.155.48:80
默认用户: admin 默认密码: admin - SSH/SFTP 访问
ssh -p2222 admin@10.12.155.48
sftp -P2222 admin@10.12.155.48
基本的脚本控制命令
JumpServer 部署管理脚本
Usage:
./jmsctl.sh [COMMAND] [ARGS...]
./jmsctl.sh --help
Installation Commands:
install 安装 JumpServer
upgrade [version] 升级 JumpServer
check_update 检查 JumpServer
reconfig 重新配置 JumpServer
Management Commands:
start 启动 JumpServer
stop 停止 JumpServer
close 关闭 JumpServer
restart 重启 JumpServer
status 检查 JumpServer
down 下线 JumpServer
uninstall 卸载 JumpServer
More Commands:
load_image 加载 Docker 镜像
backup_db 备份数据库
restore_db [file] 通过数据库备份文件恢复数据
raw 执行原始 docker-compose 命令
tail [service] 查看日志
实现资产管理
(1)打开用户列表
- 创建登录堡垒机的用户账号
- 名称 例如:Administrator
- 用户名 例如:admin
- 邮件 例如:123@qq.com
- 用户组 例如:提前划分的组或者Default
- 设置密码 例如:密码登录或者公钥限制登录
- 设置安全 例如:例如设置系统角色以及身份失效时间等
- 设置个人信息
- 提交
- 刷新测试
(2)打开资产列表创建资产/设备
- 主机名 例如:qm
- ip/域名 例如:10.12.155.99
- 系统平台 例如:linux
- 公网ip 例如:170.24.150.29
- 网域 例如:可不填
- 选择协议 例如:ssh 和监听的端口
- 认证/管理员用户 例如:普通用户或者管理员(这是服务器里的用户)
- 节点 例如:选默认的或者Default
- 标签 例如:可不选
- 提交
- 刷新测试
(3)创建系统用户
创建普通用户或者系统用户
- 名称 例如:root
- 协议 例如:协议
- 用户名 例如:root
- 密码或者密钥登录 例如:选择密码或者上传密钥(私钥文件)
- 命令过滤器 例如:可选提前设定好的文件限制命令
- 优先级 例如:1---100
- SFTP根路劲 例如:默认
- 提交
- 刷新测试
(4)实现前两步拥有资产和用户后建立绑定关系 即:授权
打开资产授权
- 名称 例如:qm2 这个可随便
- 用户 例如:选择堡垒机平台创建的用户
- 用户组 例如:Default
- 资产 例如:前头创建的资产
- 节点 默认
- 系统用户 例如:前头创建的系统用户
- 设置授权时长
- 提交
- 刷新测试
(5)实现命令过滤/限制使用命令
- 打开命令过滤器
- 名称 例如:方案名称
- 用户 例如:admin
- 用户组 例如:Default
- 资产 例如:之前的设备
- 应用
- 系统用户 例如:之前创建的系统用户
- 提交
- 打开过滤器规则
- 选择命令过滤
- 设置大小写和优先级
- 拒绝(限制使用)或者允许(允许使用)
- 提交刷新
实现应用管理
(1)创建系统用户
创建普通用户,选择数据库/k8s
- 名称 例如:这个随便起自己看的
- 用户名 例如:数据库内创建的用户,在服务器里登录数据库创建
- 优先级 例如:默认即可
- 密码
- 过滤器
- 提交
(2)创建应用
创建数据库应用
- 名称 例如:这个随便起,咱们自己看的
- 网域
- 主机 例如:放置数据库实例的ip或者域名
- 端口 例如;数据库在服务器的端口默认为3306,但也可能更改
- 数据库 例如:这是数据库实例登录之后创建的数据库名
- 提交
(3)授权应用
打开数据库授权
- 名称 例如:这个随便起,咱们自己看的
- 用户 例如:选择一个堡垒机平台创建的用户使用它
- 用户组 例如:默认组或者分配新组
- 应用 例如:前头创建的应用选择
- 系统用户 例如:前头创建的数据库用户
- 授权日期
- 提交
结尾
以上就是对JumpServer飞云堡垒机的核心功能的应用希望读者早日掌握!