jumpserver堡垒机/跳板机

1.jumpserver介绍

1.1.跳板机,堡垒机的概念

跳板机就是一台服务器而已,运维人员在使用管理服务器的时候,必须线连接上跳板机,然后才能去操控内网中的服务器,才能登录到目标设备上进行维护和操作

1.2.跳板机的优缺点

优点:集中式对服务器进行管理

缺点:没有实现对于运维人员的行为操作监控和审计,使用跳板机的过程中,还有可能在服务器上进行错误操作,一旦出现错误操作,很难定位到实施人。

1.3.堡垒机运维思想

  • 审计也只是事后的行为,审计能够发现问题以及责任人,但是无法防止问题的发生

  • 只有实现了事先严格监控,才能够从源头上解决服务器误操作的事故

  • 堡垒机能够穿件系统账号,该系统账号功能是属于角色区分的作用,但是也无法确定该账号的执行人

1.4.堡垒机的作用

由于跳板机的不足,企业需要更新,更好,更安全的技术理念去管理服务器的运维操作,需要一种能够满足角色管理,角色授权,信息资源访问控制,操作记录和审计,系统变更和维护控制等等需求,且还能生成服务器资产统计报表等功能的一个IT堡垒机。

1.核心系统运维和安全审计管理

2.过滤和拦截非法请求访问,恶意攻击,拒绝不合法命令,进行审计口监控,报警和责任追踪

3.报警,记录,分析,处理

1.5.堡垒机的核心功能

1. 单点登录 功能

2.账号管理功能

3.身份认证

4.资源授权

5.访问控制

6.操作审计

1.6.堡垒机应用的场景

1.多个用户使用同一个账号

2.一个用户使用多个账号

3.缺少统一的权限管理平台,难以实现高粒度的命令权限控制

4.对于传统的网络设备无法对运维人员的远程连接命令进行加密,审计

通过更加细致的粒度对企业IT资产设备进行管理,保证企业的it设备资产安全,可靠运行,降低人为操作的分险,避免风险性,保证企业的资源资金安全

运维人员只需要记录堡垒机的账号密码,一次登录,即可快捷访问多个管理的设备,无需记忆多个账户密码,提升工作效率,且能够对于服务器最大化的安全性操作

2.安装jumpserver

2.1.随机生成加密密钥

[root@jump-server ~]# if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr 
-dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo 
$$SECRET_KEY; else echo $$SECRET_KEY; fi
19948SECRET_KEY
[root@jump-server ~]# if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat 
/dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo 
"BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> /.baserc; echo $BOOTSTRAP_TOKEN; else 
echo $BOOTSTRAP_TOKEN; fi
38CEzGrqDME9jWxp

2.2。部署jumpserver

[root@jump-server ~]# docker run -itd \ --name jumpserver \ --restart=always \ -p 81:80 -p 2222:2222 \ -e SECRET_KEY=ORZZFDcCKRt94cmKxvvv4jw2pNoF33sK2PwN0vhpP3HSVbqofH \ -e BOOTSTRAP_TOKEN=38CEzGrqDME9jWxp \ -v /opt/jumpserver/data/:/opt/jumpserver/data/ \ -v /opt/jumpserver/mysql/:/var/lib/mysql \ jumpserver/jms_all:v2.8.4 d5337a815cb8c28a4dd5c516ec1b8a9c1b31f8d58bd530925b85f3da9dd581d2 [root@jump-server ~]# docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES d5337a815cb8 jumpserver/jms_all:v2.8.4 "./entrypoint.sh" About a minute ago Up About a minute 0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:2222->2222/tcp, :::2222->2222/tcp jumpserver

1.3.访问jumpserver Web界面

http://192.168.8.2或http://192.168.8.2/ui

用户:admin

密码:admin(初次访问需要更改密码)

重新设置密码,再次登录即可

3.用户管理

3.1.创建用户

配置用户名,以及用户邮箱和密码

用户已经创建完成

3.1.1.管理用户

Admin jumpserver 管理员 用户

Xuchuanlong jumpserver普通用户,权限较低

管理用户,客户端>jumpserver>目标服务器

管理用户指的就是 被管理机器上的root用户,或者是可以使用 sudo 权限的用户,jumpserver利用该管理用户在目标机器上,进行远程的命令执行,推送系统用户,获取资产硬件信息,指标等

3.2.资产管理

资产:服务器,路由器, 交换机 等设备,资产

创建资产 管理用户选择上面我们创建的 管理员 用户

提交完成之后刷新一下

4.通过web端连接资产

点击切换 工作台 ,web终端,就能够看到我们添加的主机在左侧

单机主机名连接即可

相关推荐
码农君莫笑4 分钟前
Blazor项目中使用EF读写 SQLite 数据库
linux·数据库·sqlite·c#·.netcore·人机交互·visual studio
小诸葛的博客11 分钟前
istio-proxy不打印访问日志怎么解决?
云原生·istio
dessler19 分钟前
Docker-如何启动docker
运维·docker·云原生·容器·eureka
zhy2956319 分钟前
【DOCKER】基于DOCKER的服务之DUFS
运维·docker·容器·dufs
无为之士24 分钟前
Linux自动备份Mysql数据库
linux·数据库·mysql
秋名山小桃子34 分钟前
Kunlun 2280服务器(ARM)Raid卡磁盘盘符漂移问题解决
运维·服务器
与君共勉1213834 分钟前
Nginx 负载均衡的实现
运维·服务器·nginx·负载均衡
Algorithm157641 分钟前
云原生相关的 Go 语言工程师技术路线(含博客网址导航)
开发语言·云原生·golang
岑梓铭41 分钟前
(CentOs系统虚拟机)Standalone模式下安装部署“基于Python编写”的Spark框架
linux·python·spark·centos
努力学习的小廉41 分钟前
深入了解Linux —— make和makefile自动化构建工具
linux·服务器·自动化