2020年12月9日--jumpserver介紹，安裝，登錄，用戶管理，資產管理，客戶端登錄jump

Jumpserver介紹

官網：http://www.jumpserver.org/

安裝文檔：http://docs.jumpserver.org/zh/docs/step_by_step.html

一 跳板機概述：
跳板機就是一臺服務器，開發或運維人員在維護過程中需要統一登錄到這臺服務器，然後再登錄到目標設備進行維護和操作。
跳板機的缺點：沒有實現對運維人員操作行爲的控制和審計，使用跳板機的過程中還是會出現誤操作、違規操作導致的事故，一旦出現操作事故很難快速定位的原因和責任人。

二 堡壘機的概述：
堡壘機，即在一個特定的網絡環境下，爲了保障網絡和數據不受來自外部和內部用戶的***和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、及時處理及審計定責。
總結：堡壘機比跳板機 多了實時收集、監控網絡環境、集中報警等功能。

三 Jumpserver的概述：

jumpserver是一款使用Python、Django開發的開源跳板機（堡壘機）系統，可以實現認證、授權、審計及自動化運維功能，助力企業高效用戶、資產、權限、審計管理。它是完全開源的，我們可以針對它來進行二次開發，實現更多的功能。

jumpserver採納分佈式架構，支持多機房跨區域部署，中心節點提供 API，各機房部署登錄節點，可橫向擴展、無併發限制。

功能：

Auth統一認證

CMDB資產管理

日誌審計

自動化運維（ansible）

部署jumpserver運行環境

Jumpserver服務端：jinkai03 192.168.186.144

客戶機：jinkai02 192.168.186.141

設置firewalld防火牆規則，允許指定端口放行

[root@jinkai02 ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent

success

[root@jinkai02 ~]# firewall-cmd --zone=public --add-port=8080/tcp --permanent

success

[root@jinkai02 ~]# firewall-cmd --zone=public --add-port=2222/tcp --permanent

Success

或者直接關閉防火牆

[root@jinkai02 ~]# systemctl stop firewalld

[root@jinkai02 ~]# systemctl disbale firewalld

關閉selinux

[root@jinkai02 ~]# setenforce 0

永久關閉selinux需要去/etc/selinux/config去吧enforcing改成disabled

修改字符集, 否則可能報 input/output error的問題, 因爲日誌裏打印了中文

[root@jinkai02 ~]# localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8

[root@jinkai02 ~]# export LC_ALL=zh_CN.UTF-8

[root@jinkai02 ~]# echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf

安裝jumpserver

官網腳本安裝：

curl -sSL

https://github.com/jumpserver/jumpserver/releases/download/v2.5.3/quick_start.sh | sh

執行時間會很長，耐心等待，執行完成後會提示進入：

cd /opt/setuptools/

執行：./jmsctl.sh start

登錄jumpserver

網頁輸入IP登錄jumpserver，默認賬號admin，密碼admin

第一次登錄會提示更改密碼

密碼重置：administrator---個人信息---登錄密碼設置

測試登錄：

Jumpserver平臺初始化--系統設置項：

基本設置--填入堡壘機IP和郵件主題名稱

郵件設置：SMTP主機，SMTP端口，SMTP賬號，SMTP密碼，設置完成後點擊--測試連接，看是否可以收到郵件

這些設置需要手動重啓一下jms服務才能生效

創建管理賬戶

管理用戶是服務器的root，或擁有NOPASSWD: ALL sudo權限的用戶，Jumpserver使用該用戶來 推送系統用戶、獲取資產硬件信息等。

點擊資產管理 → 管理用戶 → 創建

創建管理用戶：名稱（用戶名稱）用戶名和名稱建議設置一樣，密碼爲空，設置SSH祕鑰，無密碼登錄

創建祕鑰：

[root@jinkai03 ~]# ssh-keygen

[root@jinkai03 ~]# ls /root/.ssh/

authorized_keys id_rsa id_rsa.pub known_hosts

[root@jinkai03 ~]# cat /root/.ssh/id_rsa

把顯示的私鑰複製粘貼到Windows上做成文本文檔，導入

點擊提交後linuxprobe用戶創建成功

之後需要到客戶機上創建用戶linuxprobe，並複製堡壘機上的公鑰到authorized_keys文件中

[root@jinkai03 ~]# cat /root/.ssh/id_rsa.pub

---------------------------------------------------省略----------------------

[root@jinkai02 ~]# useradd linuxprobe

[root@jinkai02 ~]# su - linuxprobe

[linuxprobe@jinkai02 ~]$ mkdir .ssh

[linuxprobe@jinkai02 ~]$ vim .ssh/authorized_keys

粘貼堡壘機的公鑰---------省略-----------

[linuxprobe@jinkai02 ~]$ chmod 700 .ssh/

[linuxprobe@jinkai02 ~]$ chmod 400 .ssh/authorized_keys

測試堡壘機是否可以通過私鑰登錄客戶機jinkai02

[root@jinkai03 .ssh]# ssh [email protected]

Last login: Mon Dec 28 23:57:16 2020

[linuxprobe@jinkai02 ~]$

這樣，我們jumpserver的管理用戶linuxprobe就創建成功了。以後，每增加一臺新機器，都需要在新機器增加用戶linuxprobe，同時將公鑰複製到authorized_keys文件中。

創建普通用戶

普通用戶就是用來登錄jumpserver瀏覽器界面的用戶，或者用命令行方式登錄堡壘機的用戶。

首先需要創建一個用戶組 運維 ，用戶管理 → 用戶組 → 創建用戶組

用戶管理 → 用戶列表 → 創建用戶，創建一個普通用戶 zhangsan

點擊提交，用戶創建成功，也會發送一封郵件到剛指定的郵箱，是重置密碼的鏈接

如果是忘記系統用戶的登錄密碼可以通過上面的方法進行重置

添加機器

資產管理 → 資產列表，左側是資產樹，右擊可以新建、刪除、更改樹節點，授權資產也是以節點方式組織的，右側是屬於該節點下的資產。

點擊創建資產，關聯剛創建的管理用戶linuxprobe，主機名，主機IP，系統平臺，節點

因爲關聯了管理用戶linuxprobe，所以jinkai02上也必須有這個用戶，在之前我們已經創建了該用戶，我們還需要給這個用戶sudo的權限。

visudo

linuxprobe ALL=(ALL) NOPASSWD:ALL

除了這樣創建以外，我們還可以按照模板批量地導入資產，而不必這樣一個一個去創建。

添加系統用戶並授權

添加完機器後，還需要添加系統用戶，系統用戶是 Jumpserver跳轉登錄資產時使用的用戶，可以理解爲登錄資產用戶。

資產管理 → 系統用戶 → 創建系統用戶

自動推送會在資產中自動生成該用戶，創建之後點擊zhangsan進入系統用戶詳情，這裏也可以手動去推送及測試連通性

添加授權規則

權限管理 → 資產授權，選中Linux節點，點擊創建權限規則

點擊提交，到這裏我們相當於完成了設置的步驟。

接下來就是測試能否使用系統用戶直接登錄到jinkai02上，先切換到用戶界面

點擊Web終端，會打開一個新頁面

連接超時，網絡不通，但是手動檢測是通的