Jumpserver搭建

/opt/jumpserver-installer-v2.17.0 

Jumpserver介绍

JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统。

JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。

JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。

改变世界，从一点点开始。

准备

名称	虚拟机IP	作用
jumpserver	192.168.200.20	堡垒机
client	192.168.200.30	需要添加的资产

关闭防火墙、se和配置yum这些都是前期工作

解释端口

端口	作用	说明
22	SSH	SSH协议连接服务器
80,8080	WEB服务	进入网页的端口，可以自行修改
2222	jumpserver终端连接端口	使用xshell等连接

Jumpserver搭建 

搭建

 部署 jumpserver 的方式有好几种 ，可以在 安装部署 - JumpServer 文档 官网文档中选择部署方式。下图就是官网的图

我选择的是一键部署省事，一键部署需要在有网的情况下部署。

#默认安装的 /opt/jum[server-installer-v2.17.0 目录
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash -s

 安装完成之后是这样的

执行 jumpserver

# 安装完成后配置文件 /opt/jumpserver/config/config.txt

#进入文件执行下面的命令
cd /opt/jumpserver-installer-v2.17.0 
# 启动
./jmsctl.sh start 

# 停止 
./jmsctl.sh down 

# 卸载 
./jmsctl.sh uninstall 

# 帮助 
./jmsctl.sh -h

 进入

#需要先进入 /opt/jumpserver-installer-v2.17.0 目录启动jumpserver 

[root@localhost jumpserver-installer-v2.17.0]# ./jmsctl.sh start
jms_mysql is up-to-date
jms_redis is up-to-date
Creating jms_core ... done
Creating jms_celery ... done
Creating jms_lion ... done
Creating jms_koko ... done
Creating jms_web ... done

#在浏览器上输入自己IP 
http://192.168.200.20
#这个是登录界面，账号密码都是admin ，进去之后会修改一下密码然后重新登录一下

这个是就是刚进来的界面

 进入 jumpserver 虚拟机进行配置

jumpserver为了方便我们操作，制作了linux界面的终端，供我们使用。

在搭建堡垒机的服务器里输入以下命令

#下面这个的密码是网页上修改的那个密码
[root@jumpserver ~]# ssh -p 2222 admin@127.0.0.1

在 jumpserver 设置 ssh 免密登录

#到冒号哪里直接回车即可
[root@jumpserver ~]# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:ETh/s7dPzFiKnnFSkS9dB5oUK8oM5lawFJ8gtd4HICE root@jumpserver
The key's randomart image is:
+---[RSA 2048]----+
|  E +oBo.   o..  |
|   . +oB o . = . |
|      =o* . *   o|
|     + *.+o. + ..|
|      + S..oo +  |
|     .   ..o.B   |
|          +.+.+  |
|         . =..   |
|          o  ..  |
+----[SHA256]-----+

 

#查看公钥

[root@jumpserver ~]# cat /root/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDbbNjRky+GN/wrg/QkcQQ6VdaI9iHQtywsGQ1Lrtv/VXhnkQ0KpfREeB/3rcTAHflHKygfKJ5V4H0Wv0q9pl1QByGQUY3d2cL3FB6BJvCxPpMAWlVM+bDQDuzjCm4W6S5rT+vRKsdSVfj/1spQJyuQQpB9Z0k5ntj8buaUWkVAH1PBVN7qxdLKpyU1W7YMZzDichuuriz+xoJgElWAYDnwhapV+PmgoHaxrvZYmFloVOELK/tyA54pJMkm9uM95hIH95zW5+A9aW2SoOGQpjb0Of4nNcegSTP6MkaLWcgwCk3RzaWj31Ep1UadCfGGAL/fKKjkOLzYdMV+c6dvT2VR root@jumpserver

将查看的公钥信息复制到下图位置

 再次登录会发现不需要密码

用户管理

创建用户

 进去之后点击创建跟着下面图即可、名字什么的都可以随意写。然后提交

 

 资产管理

现在 jumpserver 生产一个密钥

#到冒号直接回车
[root@jumpserver ~]# ssh-keygen -f jumpserver
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in jumpserver.
Your public key has been saved in jumpserver.pub.
The key fingerprint is:
SHA256:ePELQFrTXYMwDwsqfXlg0/U/xe470zMJUIAT7HhKcrg root@jumpserver
The key's randomart image is:
+---[RSA 2048]----+
|      Oo==+++    |
|   . * *oOo. o . |
|  . + = * o o   o|
|   . + B = . . o |
|      * S . . o .|
|     E o . . . o |
|          .   . +|
|               *o|
|               .=|
+----[SHA256]-----+
[root@jumpserver ~]# ls
anaconda-ks.cfg  jumpserver  jumpserver.pub

 然后将这个生成的 jumpserver 文件利用 xftp 拖到 windows 里

创建资产用户

我们登录服务器/虚拟机，需要输入账号密码，之后通过工具的保存功能就无需输入账号密码。而我们创建这个管理用户，就是用来登录堡垒机绑定的机器。我们可以使用root账号登录，也可以在linux自己创建用户，然后设置管理用户。

资产管理——系统用户——特权用户——创建

普通用户和特权用户的区别：普通用户不是root管理员账号，而特权用户是。特权用户可以获得虚拟机的一些信息等。

 设置完名称跟用户名，选择认证的时候那个文件是 jumpserver虚拟机 里生成的那个公钥文件。写完直接提交即可

创建资产

创建用户

右键Default——创建节点——进入新创建的节点——创建

注意：虚拟机名不需要和主机名一样，虚拟机名不需要和主机名一样

 出来下图就说明创建成功

绑定资产

配置 client 节点用户与配置

#添加用户
[root@client ~]# useradd jumpserver
#设置用户密码
[root@client ~]# echo 000000 | passwd --stdin jumpserver
#修改配置文件
[root@client ~]# visudo
......
 ## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
jumpserver      ALL=(ALL)       NOPASSWD:ALL
......

在 jumpserver节点 复制ssh到jumpserver到jumpserver@192.168.200.30

#密码是 000000 就上面的 ehco.....的密码
[root@jumpserver ~]# ssh-copy-id -i jumpserver.pub jumpserver@192.168.200.30

此时就绑定成功了，不过需要进行测试。点击测试然后会出来左边那个边框。

更新硬件信息没问题的话，测试资产可连接性就大概率没问题。但是如果绑定的是虚拟机可能会非常慢！非常慢！

注意：如果出现无法连接的情况，按照一下操作走：

资产管理——系统用户——特权用户

 

 创建一个新的资产——特权用户填写root用户——提交即可。这次大概率没问题。

 

这里可连接是 √ 才算成功！！！！！！

 

 权限管理

创建普通用户

资产管理——系统用户——普通用户——创建——ssh

 创建普通用户，用户名和密码写你虚拟机的。

 权限管理——资产授权——创建

设置普通用户

打开自动推送

 

 管理页面

 web终端：

 

 文件管理