堡垒机介绍
堡垒机是一种网络安全设备(也叫运维管理平台),主要用于集中管理、监控和审计网络中的运维操作,通过提供统一的访问入口、严格的权限控制以及详细的日志记录等功能,有效防止内部和外部的非法操作,保障网络系统的安全性和合规性。
JumpServer官网
https://www.jumpserver.org/
JumpServer 堡垒机支持的资产类型
- SSH (Linux / Unix / 网络设备 等)
- Windows (Web 方式连接 / 原生 RDP 连接)
- 数据库 (MySQL / MariaDB / Oracle / SQLServer / PostgreSQL / ClickHouse 等)
- NoSQL (Redis / MongoDB 等)
- GPT (ChatGPT 等)
- 云服务 (Kubernetes / VMware vSphere 等)
- Web 站点 (各类系统的 Web 管理后台)
- 应用 (通过 Remote App 连接各类应用)
JumpServer 的产品特色
- 开源:零门槛,线上快速获取和安装;
- 分布式:轻松支持大规模并发访问;
- 无插件:仅需浏览器,极致的 Web Terminal 使用体验;
- 多云支持:一套系统,同时管理不同云上面的资产;
- 云端存储:审计录像云端存储,永不丢失;
- 多租户:一套系统,多个子公司和部门同时使用;
- 多应用支持:数据库,Windows 远程应用,Kubernetes。
Ubuntu机器
这里我们用到两台Linux机器进行演示。
Ubuntu 192.168.142.142 ,这个是安装运行堡垒机的服务器。
CentOS 192.168.142.66 ,这个是被堡垒机管理的Linux机器。
以下全部用root用户演示
停止apache
因为这台机器安装了Web服务(包含apache),默认监听80端口,会跟JumpServer管理界面端口冲突,所以先停掉apache
systemctl stop apache2确认端口是否关闭(没有结果是正常的,有结果不正常):
lsof -i :80使用脚本直接安装
运行以下命令:
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash大约5分钟左右安装完毕,安装完成以后会直接启动。
下次手动启动
先找到启动脚本的位置
find / -name "jmsctl.sh"跳转到脚本位置,例如:
cd /opt/jumpserver-installer-v4.8.0/启动JumpServer:
./jmsctl.sh start8个容器全部启动成功为正常:
其他命令
language-bash
./jmsctl.sh stop # 停止JumpServer
./jmsctl.sh restart # 重启JumpServer
./jmsctl.sh backup # 备份JumpServer
./jmsctl.sh upgrade # 升级JumpServer访问Web管理端
用以下命令获取到虚拟机的IP:
ip addr在浏览器直接访问虚拟机的IP即可,例如:
http://192.168.142.142 # 更换为自己的IP默认账号:admin
默认密码:ChangeMe
登录成功以后需要强制修改密码。然后再次用新密码登录。
必须同意用户使用,提交以后才能出现其他菜单
添加堡垒机用户组
例如创建一个组叫"安全组"
添加堡垒机用户
添加到"安全组",演示中我们给这个用户直接设置登录堡垒机系统的密码。
正常情况下是发邮件给用户,通过邮件自行设置密码。
添加资产(需要管理的服务器)
协议:
新增账号(是Linux操作系统已有的账号):
资产授权
这里我们允许堡垒机的wuya用户访问CentOS66的所有账号
堡垒机用户登录
堡垒机用户打开堡垒机服务器地址:
http://192.168.142.142使用自己的账号、密码登录:
切换到工作台:
通过SSH连接
打开了SSH虚拟终端:
