1.jumpserver介绍
1.1.跳板机,堡垒机的概念
跳板机就是一台服务器而已,运维人员在使用管理服务器的时候,必须线连接上跳板机,然后才能去操控内网中的服务器,才能登录到目标设备上进行维护和操作
1.2.跳板机的优缺点
优点:集中式对服务器进行管理
缺点:没有实现对于运维人员的行为操作监控和审计,使用跳板机的过程中,还有可能在服务器上进行错误操作,一旦出现错误操作,很难定位到实施人。
1.3.堡垒机运维思想
-
审计也只是事后的行为,审计能够发现问题以及责任人,但是无法防止问题的发生
-
只有实现了事先严格监控,才能够从源头上解决服务器误操作的事故
-
堡垒机能够穿件系统账号,该系统账号功能是属于角色区分的作用,但是也无法确定该账号的执行人
-
1.4.堡垒机的作用
由于跳板机的不足,企业需要更新,更好,更安全的技术理念去管理服务器的运维操作,需要一种能够满足角色管理,角色授权,信息资源访问控制,操作记录和审计,系统变更和维护控制等等需求,且还能生成服务器资产统计报表等功能的一个IT堡垒机。
1.核心系统运维和安全审计管理
2.过滤和拦截非法请求访问,恶意攻击,拒绝不合法命令,进行审计口监控,报警和责任追踪
3.报警,记录,分析,处理
1.5.堡垒机的核心功能
1. 单点登录 功能
2.账号管理功能
3.身份认证
4.资源授权
5.访问控制
6.操作审计
1.6.堡垒机应用的场景
1.多个用户使用同一个账号
2.一个用户使用多个账号
3.缺少统一的权限管理平台,难以实现高粒度的命令权限控制
4.对于传统的网络设备无法对运维人员的远程连接命令进行加密,审计
通过更加细致的粒度对企业IT资产设备进行管理,保证企业的it设备资产安全,可靠运行,降低人为操作的分险,避免风险性,保证企业的资源资金安全
运维人员只需要记录堡垒机的账号密码,一次登录,即可快捷访问多个管理的设备,无需记忆多个账户密码,提升工作效率,且能够对于服务器最大化的安全性操作
2.安装jumpserver
2.1.随机生成加密密钥
[root@jump-server ~]# if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr
-dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo
$$SECRET_KEY; else echo $$SECRET_KEY; fi
19948SECRET_KEY
[root@jump-server ~]# if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat
/dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo
"BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> /.baserc; echo $BOOTSTRAP_TOKEN; else
echo $BOOTSTRAP_TOKEN; fi
38CEzGrqDME9jWxp
2.2。部署jumpserver
[root@jump-server ~]# docker run -itd \ --name jumpserver \ --restart=always \ -p 81:80 -p 2222:2222 \ -e SECRET_KEY=ORZZFDcCKRt94cmKxvvv4jw2pNoF33sK2PwN0vhpP3HSVbqofH \ -e BOOTSTRAP_TOKEN=38CEzGrqDME9jWxp \ -v /opt/jumpserver/data/:/opt/jumpserver/data/ \ -v /opt/jumpserver/mysql/:/var/lib/mysql \ jumpserver/jms_all:v2.8.4 d5337a815cb8c28a4dd5c516ec1b8a9c1b31f8d58bd530925b85f3da9dd581d2 [root@jump-server ~]# docker ps -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES d5337a815cb8 jumpserver/jms_all:v2.8.4 "./entrypoint.sh" About a minute ago Up About a minute 0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:2222->2222/tcp, :::2222->2222/tcp jumpserver
1.3.访问jumpserver Web界面
http://192.168.8.2或http://192.168.8.2/ui
用户:admin
密码:admin(初次访问需要更改密码)
重新设置密码,再次登录即可
3.用户管理
3.1.创建用户
配置用户名,以及用户邮箱和密码
用户已经创建完成
3.1.1.管理用户
Admin jumpserver 管理员 用户
Xuchuanlong jumpserver普通用户,权限较低
管理用户,客户端>jumpserver>目标服务器
管理用户指的就是 被管理机器上的root用户,或者是可以使用 sudo 权限的用户,jumpserver利用该管理用户在目标机器上,进行远程的命令执行,推送系统用户,获取资产硬件信息,指标等
3.2.资产管理
资产:服务器,路由器, 交换机 等设备,资产
创建资产 管理用户选择上面我们创建的 管理员 用户
提交完成之后刷新一下
4.通过web端连接资产
点击切换 工作台 ,web终端,就能够看到我们添加的主机在左侧
单机主机名连接即可
