文章大纲介绍

了解

1. 什么是堡垒机

简单讲就是在同一个局域网内的一台主机【堡垒机】，通过这台主机【堡垒机】去访问同一网内的服务器、数据库、网络设置等设备，集中记录和监控人员对资源设备的操作行为，用于审查、追责提供证据。

2. 为什么要用

当公司设备越来越多,维护人员也会越来越多，没有一套好的管理机制就会导致运维混乱，这个时候就要通过精细化的授权,让审计工作更好做。

3.开源JumperServer 介绍

JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统。

JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。

JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。

首页大屏如下图：

安装

1.下载安装脚本

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.15.3/quick_start.sh | bash

下载完成后会出现如下内容：

477 static files copied to '/opt/jumpserver/data/static'.
complete

>>> The Installation is Complete
1. You can use the following command to start, and then visit
cd /opt/jumpserver-installer-v2.15.3
./jmsctl.sh start

2. Other management commands
./jmsctl.sh stop
./jmsctl.sh restart
./jmsctl.sh backup
./jmsctl.sh upgrade
For more commands, you can enter ./jmsctl.sh --help to understand

3. Web access
http://192.168.0.47:80
Default username: admin  Default password: admin

4. SSH/SFTP access
ssh -p2222 admin@192.168.0.47
sftp -P2222 admin@192.168.0.47

5. More information
Official Website: https://www.jumpserver.org/
Documentation: https://docs.jumpserver.org/

接下来按照

上面的1.2.3.4.5

2.启动服务

[root@localhost jumpserver-installer-v2.15.3]# ./jmsctl.sh start
jms_mysql is up-to-date
jms_redis is up-to-date
Creating jms_core ... done
Creating jms_celery ... done
Creating jms_web    ... done
Creating jms_koko   ... done
Creating jms_lion   ... done

3.访问服务

浏览器打开http://192.168.0.47:80

出现如下界面

初始化的用户名和密码都是admin

第一次进入需要修改密码：admin123123

资产管理

1.创建特权用户

特权用户 是资产已存在的, 并且拥有 高级权限 的系统用户， 如 root 或 拥有 `NOPASSWD: ALL` sudo 权限的用户。 JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。

在这里创建特权用户是为了在创建资产的时候资产登录使用特权用户登录，位置在如下图：

增加资产用户

2.创建资产

在增加这里要注意系统平台的选择，目前支持：Linux\Unix\MacOS\BSD\Windows\Windows2016

创建成功后

创建系统用户

1.用户组

2.用户列表

创建账户，多因子认证一般不启用，在这里选择禁用

3.授权用户访问

权限管理->资产列表->资产授权

在这里创建服务器的授权规则，用户可以访问几台服务器都可以在这里设置完成，

注意：在这里创建的用户都有有效期

4.web用户在线访问资产

使用系统创建的用户登录后就能看到我们授权的资产，如下图：

点击web 终端在线我的资产如下图：

接下来选择一台服务器点击后确认链接，登录成功后如下图：

5. 使用ssh连接工具连接堡垒机

使用命令：ssh -p 2222 开通的用户名@ip

输入在jumpServer平台创建用户名以及登录密码，成功后出现如下图：

在这里我们输入 P 显示有权限的所有主机，选择后如下图：

接下来进入服务器，直接输入ID 号，回车后登录成功如下图：

会话管理

1.在线实时会话

点击监控能看到用户的命令实时操作

2.历史会话

在这里我们能全程视频回放用户的所有操作

3.命令历史记录

所有操作记录一目了然