Jumpserver 是一款由python编写完全开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。此文简要介绍实际操作时,简单配置过程。
Jumpserver基于CentOS7安装,可参考⬇️CentOS7一步步安装Jumpserver堡垒机(官方教程版)
建立Jumpserver使用者
1.点选页面左侧"使用者列表"选单下的"使用者列表", 进入使用者列表页面2.点选页面左上角"建立使用者"按钮, 进入建立使用者页面, (也可以通过右上角汇入模版进行使用者汇入)
3.其中, 使用者名称即 Jumpserver 登入账号(具有唯一性, 不能重名)。名称为页面右上角使用者标识(可重复)
4.成功提交使用者资讯后, Jumpserver 会发送一条设定"使用者密码"的邮件到您填写的使用者邮箱
5.点选邮件中的设定密码连结, 设定好密码后, 您就可以使用者名称和密码登入 Jumpserver 了。
6.使用者首次登入 Jumpserver, 会被要求完善使用者资讯, 按照向导操作即可。
新增使用者
编辑资产树并建立资产
"节点"不能重名, 右击节点可以新增、删除和重新命名节点, 以及进行资产相关的操作注:如果有 linux 资产和 windows 资产, 建议先建立 Linux 节点与 Windows 节点, 不然"授权"时不好处理
资产树点选页面左侧的"资产管理"选单下的"资产列表"按钮, 检视当前所有的资产列表。点选页面左上角的"建立资产"按钮, 进入资产建立页面, 填写资产资讯。IP 地址和管理使用者要确保正确, 确保所选的管理使用者的使用者名称和密码能"牢靠"地登入指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 资讯只用于展示, 可不填, Jumpserver 连线资产使用的是 IP 资讯。
新增资产
资产建立资讯填写好储存之后, ssh 协议资产可"测试资产"是否能正确连线, 其他协议暂不支援
注:被连线资产需要"python"元件, 且版本大于等于2.6, Ubuntu等资产预设不允许root使用者远端ssh登入, 请自行处理如果资产不能正常连线, 请检查"管理使用者"的使用者名称和金钥是否正确以及该"管理使用者"是否能使用 SSH 从 Jumpserver 主机正确登入到资产主机上
建立管理使用者
"管理使用者"是资产上的 root, 或拥有 NOPASSWD: ALL sudo 许可权的使用者, Jumpserver 使用该使用者来推送系统使用者、获取资产硬件资讯等。 Windows或其它硬件可随意设定一个"名称" 不能重复"ssh私钥" 如果私钥有密码, 请把key的密码填在密码栏上, 目前仅支援 RSA DSA 格式私钥
管理使用者建立系统使用者
"系统使用者"是 Jumpserver 跳转登入资产时使用的使用者, 使用者使用该使用者登入资产"自动生成密码"、"自动推送"、"Sudo"等功能需要对应资产的"管理使用者"是且有root许可权, 否则自动推送失败ssh 协议的 "Sudo" 栏设定使用者的 sudo 许可权ssh 协议如果建立的"系统使用者"已在资产上面存在, "推送"将会覆盖掉原使用者的"home"目录许可权(注: 替换成700许可权)ssh 协议的 "ssh私钥" 如果私钥有密码, 请把key的密码填在密码栏上, 目前仅支援 RSA DSA 格式私钥这里简单举几个 "sudo" 设定例子Sudo /bin/su # 当前系统使用者可以免sudo密码执行sudo su命令
Sudo /usr/bin/git, /usr/bin/php, /bin/cat, /bin/more, /bin/less, /usr/bin/tail
当前系统使用者可以免sudo密码执行git php cat more less tail
Sudo !/usr/bin/yum # 当前系统使用者不可以执行sudo yum命令
此处的许可权应该根据使用使用者的需求汇总后定制, 原则上给予最小许可权即可"系统使用者"建立时, 如果选择了"自动推送" Jumpserver 会使用"Ansible"自动推送系统使用者到资产中, "root"使用者不支援推送如果资产(交换机、Windows)不支援"Ansible", 请去掉"自动生成金钥"、"自动推送"勾选。手动填写资产上已有的账号及账号密码如果想让使用者登入资产时自己输入密码, 可以在建立系统使用者时选择"手动登入"
系统使用者
建立授权规则
"名称", 授权的名称, 不能重复"使用者"和"使用者组"二选一, 不推荐即选择使用者又选择使用者组"资产"和"节点"二选一, 选择节点会包含节点下面的所有资产"系统使用者", 及所选的使用者或使用者组下的使用者能通过该系统使用者使用所选节点或者节点下的资产使用者(组), 资产(节点), 系统使用者是一对一的关系, 所以当拥有 Linux、Windows 不同型别资产时, 应该分别给 Linux 资产和 Windows 资产建立授权规则一般情况下, 资产授权给个人, 节点授权给使用者组, 一个授权只能选择一个系统使用者
授权规则
使用者登入
使用者只能看到自己被管理员授权了的"资产", 如果登入后无资产, 请联络管理员进行确认
使用者登入
连线资产
在我的资产点选资产右边的 "连线" 快速连线资产也可以点选左侧栏的 "Web终端"
连线资产连线window系统
windows系统连线linux系统
linux系统以上就是 Jumpserver 的简易配置。
