Jumpserver0.5使用说明
1.系统设置
a.基本设置,这里的ip是jumpserver所在的地址
b.邮件设置,得在qq邮箱中启用授权码
可参考:https://service.mail.qq.com/cgi-bin/help?subtype=1&id=28&no=1001256
2.创建用户
创建用户组
创建用户,用户名写成英文的目的是,一会得拿它在xshell上登录跳板机
填写qq邮箱,我这收不到邮件,开启了SMTP也不行,用163邮箱可以收到,点击链接设置密码
用户名:zhouxingchi,密码:zhouxingchi123456,登录jumpserver完善信息,配置ssh公钥:可以用xshell生成密钥对,也可以点击这里的自动配置,自动配置密钥我没有调通,这里演示使用xshell生成密钥对.
点击工具-->新建用户密钥生成向导,密钥名zhouxingchi,密钥密码root23456,用这个私钥生成它的公钥--zhouxingchi.pub,将内容粘贴到个人信息中,一定要粘贴完整,这算是一个小坑.
用xhsell连接到跳板机,端口号2222,可在配置文件中自定义该端口
用户名zhouxingchi,私钥名zhouxingchi,密码为该私钥密码root123456
此时还没有创建系统用户、管理用户,就可以用jumpserver用户登录跳板机了,只是还没有和系统用户做映射
3.创建管理用户
a.在所有客户机上创建manager用户,这里以10.0.0.51为例进行演示
# 对这个用户提权,让其充当root,把jumpserver的root公钥拷到该用户的authorized_keys中 useradd manager echo manager123456|passwd --stdin manager visudo # 添加下面这行对manager用户进行NOPASSWD授权 manager ALL=(ALL) NOPASSWD: ALL
b.在jumpserver服务器给root创建密钥对,也可以是其它用户
ssh-keygen cd /root/.ssh && sz id_rsa # 将生成的私钥放到Windows桌面上 ssh-copy-id -i ~/.ssh/id_rsa.pub -p 9999 manager@10.0.0.51 # 不能带引号 # 在jumserver中用私钥连接客户端的机器 ssh -p '9999' 'manager@10.0.0.51'
此时不需要密码即可登录客户端
4.创建资产
直接按生产环境要求进行配置,我这里将端口修改为9999,不允许root登录,不管用密码还是密钥都不能登,监听在内网ip上,这下谁都连不上了,除了拥有外网ip的跳板机,而跳板机只能用VPN连,稳的一匹.
sed -ir '13 iPort 9999\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no' /etc/ssh/sshd_config
跳板机的公钥拷到客户机之后,才能联通,这里创建了两个web,一个数据库
5.创建系统用户
第二步创建的跳板机用户只存于在跳板机上,来一个新员工,我就创建一个,而系统用户不在跳板机上,他存在于客户机上,存在于所有客户机吗?看权限.
比如yunwei管理所有服务器:1-100,kaifa管理91-100,test管理81-90,这三个系统用户:yunwei这个账号存在于所有机器上,kaifa只存在于91-100,test只存在于81-90,来了个测试新员工-梁朝伟,我们需要做的是:在跳板机上创建liangchaowei,然后将其与test做个映射,他就能登录这十台测试机了.
这样做省事是省事了,但一个团队的所有人只和一个系统用户做映射,会发生混乱,一般是来一个新员工,不仅要创建跳板机用户,还得创建系统用户,这里演示第一种情况.
创建系统用户--yunwei,自动生成密钥,自动推送,创建完授权规则,跳板机会自动将系统用户推送到关联的机器,sudo这一项是你选一些系统命令,执行时不需要输入密码,这里我给ALL,在/etc/sudoers文件中以这种方式呈现:
yunwei ALL=(ALL) NOPASSWD: ALL
6.创建授权规则
两个作用:一.将资产与系统用户做关联;二.将跳板机用户与系统用户做关联
此时周星驰就有了所有机器的管理权限
参考博文:https://github.com/jumpserver/jumpserver/wiki