网络安全:OpenEuler 部署 jumpserver 堡垒机

目录

一、实验

1.环境

[2.OpenEuler 部署 jumpserver 堡垒机](#2.OpenEuler 部署 jumpserver 堡垒机)

[3.OpenEuler 使用 jumpserver 堡垒机(管理Linux)](#3.OpenEuler 使用 jumpserver 堡垒机(管理Linux))

[4.OpenEuler 使用 jumpserver 堡垒机(管理Windows)](#4.OpenEuler 使用 jumpserver 堡垒机(管理Windows))

二、问题

[1.jumpserver 安装报错](#1.jumpserver 安装报错)


一、实验

1.环境

(1)主机

表1 主机

|---------|----------------|---------------|-------------------------------------------------------------|---------------|
| 系统 | 架构 | 版本 | IP | 备注 |
| Linux | openEuler | 22.03 LTS SP2 | 192.168.204.145(动态) 192.168.204.141(静态) 192.168.204.142(静态) | |
| | docker | 25.0.3 | | |
| | jumpserver | 2.28.6 | | 依赖docker |
| | CentOS | 7.9 | 192.168.204.200 | 被保护的Linux资产 |
| Windows | Windows server | 2008 R2 | 192.168.204.150 | 被保护的Windows资产 |

(2)查看系统版本(openEuler)

bash 复制代码
[root@localhost ~]# cat /etc/os-release

(3) 查看网络ip (openEuler)

bash 复制代码
[root@localhost ~]# ip addr

(4) 查看docker版本 (openEuler)

bash 复制代码
[root@localhost ~]# docker --version

2.OpenEuler 部署 jumpserver 堡垒机

(1) 查看

bash 复制代码
https://github.com/jumpserver/jumpserver

(2)修改主机配置

bash 复制代码
1)查看
[root@localhost opt]# getenforce

2)修改主机名
[root@localhost opt]# hostnamectl set-hostname jms
[root@localhost opt]# bash

3)关闭防火墙
[root@jms opt]# systemctl disable firewalld --now
[root@jms opt]# setenforce 0
[root@jms opt]# vim /etc/selinux/config

修改前:

修改后:

(3)解压

bash 复制代码
[root@jms opt]# tar -xf jumpserver-offline-installer-v2.28.6-amd64-179.tar.gz

(4)查看端口占用情况

bash 复制代码
[root@jms ~]# netstat -antlp

(5)关闭端口

关闭80与9000

bash 复制代码
[root@jms ~]# sudo systemctl stop nginx
[root@jms ~]# netstat -antlp | grep 80

[root@jms ~]# sudo systemctl stop php-fpm
[root@jms ~]# netstat -antlp | grep 9000

关闭3306

bash 复制代码
1)杀掉mysqld_safe进程
ps aux|grep mysqld_safe 
kill -9 mysqld_safe进程号

2)杀掉mysql进程
ps aux|grep mysql 
kill -9 mysqld进程号

(6)再次查看端口

bash 复制代码
[root@jms ~]# netstat -antlp

(7)安装

bash 复制代码
[root@jms jumpserver-offline-installer-v2.28.6-amd64-179]# ls
compose  config-example.txt  config_init  jmsctl.sh  LICENSE  locale  quick_start.sh  README.md  scripts  static.env  utils
[root@jms jumpserver-offline-installer-v2.28.6-amd64-179]# ./jmsctl.sh install

过程默都按回车

安装完成

bash 复制代码
>>> 安装完成了
1. 可以使用如下命令启动, 然后访问
cd /opt/jumpserver-offline-installer-v2.28.6-amd64-179
./jmsctl.sh start

2. 其它一些管理命令
./jmsctl.sh stop
./jmsctl.sh restart
./jmsctl.sh backup
./jmsctl.sh upgrade
更多还有一些命令, 你可以 ./jmsctl.sh --help 来了解

3. Web 访问
http://192.168.204.145:80
默认用户: admin  默认密码: admin

4. SSH/SFTP 访问
ssh -p2222 admin@192.168.204.145
sftp -P2222 admin@192.168.204.145

5. 更多信息
我们的官网: https://www.jumpserver.org/
我们的文档: https://docs.jumpserver.org/

(8)启动

bash 复制代码
[root@jms jumpserver-offline-installer-v2.28.6-amd64-179]# ./jmsctl.sh start
[+] Running 8/8
 ✔ Container jms_redis   Healthy                                                                                                                                                                                   0.0s
 ✔ Container jms_mysql   Healthy                                                                                                                                                                                   0.0s
 ✔ Container jms_core    Healthy                                                                                                                                                                                  37.5s
 ✔ Container jms_celery  Started                                                                                                                                                                                  37.8s
 ✔ Container jms_lion    Started                                                                                                                                                                                  37.9s
 ✔ Container jms_magnus  Started                                                                                                                                                                                  40.1s
 ✔ Container jms_koko    Started                                                                                                                                                                                  37.9s
 ✔ Container jms_web     Started   

等待8个服务都开启

完成

查看docker进程

bash 复制代码
[root@jms jumpserver-offline-installer-v2.28.6-amd64-179]# docker ps
CONTAINER ID   IMAGE                       COMMAND                   CREATED          STATUS                    PORTS                                                                   NAMES
ac5fb3d69002   jumpserver/lion:v2.28.6     "./entrypoint.sh"         45 minutes ago   Up 45 minutes (healthy)   4822/tcp, 8081/tcp                                                      jms_lion
1cf98a54b85f   jumpserver/web:v2.28.6      "/docker-entrypoint...."   45 minutes ago   Up 45 minutes (healthy)   0.0.0.0:80->80/tcp, :::80->80/tcp                                       jms_web
0c41a1b46258   jumpserver/core:v2.28.6     "./entrypoint.sh sta..."   45 minutes ago   Up 45 minutes (healthy)   8070/tcp, 8080/tcp                                                      jms_celery
1a42f1033e2c   jumpserver/koko:v2.28.6     "./entrypoint.sh"         45 minutes ago   Up 45 minutes (healthy)   0.0.0.0:2222->2222/tcp, :::2222->2222/tcp, 5000/tcp                     jms_koko
89e5b4c37083   jumpserver/magnus:v2.28.6   "./entrypoint.sh"         45 minutes ago   Up 45 minutes (healthy)   0.0.0.0:30000-30100->30000-30100/tcp, :::30000-30100->30000-30100/tcp   jms_magnus
ab2192ba7802   jumpserver/core:v2.28.6     "./entrypoint.sh sta..."   45 minutes ago   Up 45 minutes (healthy)   8070/tcp, 8080/tcp                                                      jms_core
ced3a793ffa5   jumpserver/mariadb:10.6     "docker-entrypoint.s..."   53 minutes ago   Up 53 minutes (healthy)   3306/tcp                                                                jms_mysql
3792246540c8   jumpserver/redis:6.2        "docker-entrypoint.s..."   53 minutes ago   Up 53 minutes (healthy)   6379/tcp                                                                jms_redis

(9)登录

bash 复制代码
http://192.168.204.145/
bash 复制代码
//默认账户密码
admin:admin  

修改密码:

(10) 进入系统

3.OpenEuler 使用 jumpserver 堡垒机(管理Linux)

(1)查看用户列表

(2)查看用户组

(3)查看角色列表

(4)查看工作台

(5)查看审计台

会话记录

命令记录

文件传输

日志审计

(5) 控制台创建堡垒机用户

(6)查看用户列表

(7)创建用户组

(8)堡垒机创建普通用户

分类

bash 复制代码
系统用户 是JumpServer 登录资产时使用的账号,如 root `ssh root@host`,而不是使用该用户名登录资产(ssh admin@host)`;
特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户, JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等;
普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。

查看普通用户

创建普通用户(选择SSH)

完成

(9)堡垒机创建特权用户

创建特权用户

查看

(10)创建资产

创建节点

完成

创建(添加服务器)

(11)资产授权

查看

创建

完成

(12) 堡垒机使用特权身份推送用户

测试特权用户

测试普通用户

刷新

(13)堡垒机切换用户

退出管理员

重新登录(david)

修改密码

确认

(14)查看资产

(15) 远程

点击绿色图标

确认

进入

操作(无删除权限)

关闭页面

(16)堡垒机切换管理员用户

退出普通用户

重新登录

(17)审计台查看记录

切换审计台

查看命令记录

点击转到

右上角点击回放

查看回放

查看会话历史记录

4.OpenEuler 使用 jumpserver 堡垒机(管理Windows)

(1)查看Windows IP地址

bash 复制代码
ipconfig

(2) Windows手动创建一个用户

进入CMD命令行

bash 复制代码
1)创建用户
net user 账户 密码 /add

2)把用户加速如administrators组
net localgroup administrators 账户 /add

创建用户

加入组

(3)jumpserver创建Windows普通用户

选择RDP

不需要自动推送

(4)资产列表创建Windows服务器

选择rdp协议

(5)创建资产授权

完成

(6)堡垒机切换用户

退出管理员

切换用户(david)

(7)查看资产

(8) 远程

点击绿色图标

进入

关闭页面

二、问题

1.jumpserver 安装报错

(1)报错

bash 复制代码
6. 初始化数据库
[+] Running 1/1
 ✘ Network jms_net  Error                                                                                                                                                                                          0.1s
failed to create network jms_net: Error response from daemon: Failed to Setup IP tables: Unable to enable SKIP DNAT rule:  (iptables failed: iptables --wait -t nat -I DOCKER -i br-7b5c9d393253 -j RETURN: iptables: No chain/target/match by that name.
 (exit status 1))
Error: No such object: jms_mysql

(2)原因分析

未删掉mysql的持久化数据,默认是/opt/jumpserver/mysql。

(3)解决方法

bash 复制代码
rm -rf /opt/jumpserver/mysql

成功:

相关推荐
无敌暴龙兽z3 小时前
离线环境安装elk及设置密码认证
运维·elk
M4K03 小时前
Linux百度网盘优化三板斧
linux
好奇的菜鸟3 小时前
如何在 Ubuntu 24.04 (Noble) 上使用阿里源
linux·运维·ubuntu
bcbobo21cn3 小时前
初步了解Linux etc/profile文件
linux·运维·服务器·shell·profile
wayuncn4 小时前
月付物理服务器租用平台-青蛙云
运维·服务器·服务器租用·服务器托管·物理机租用
望获linux4 小时前
【实时Linux实战系列】CPU 隔离与屏蔽技术
java·linux·运维·服务器·操作系统·开源软件·嵌入式软件
0wioiw04 小时前
C#基础(项目结构和编译运行)
linux·运维·服务器
hanniuniu135 小时前
AI时代API挑战加剧,API安全厂商F5护航企业数字未来
人工智能·安全
2401_873587825 小时前
Linux常见指令以及权限理解
linux·运维·服务器
zhulangfly5 小时前
API接口安全-1:身份认证之传统Token VS JWT
安全