企业安全建设第11课--实验堡垒机使用
实验名称
堡垒机使用
实验目的
了解堡垒机的使用,及审计原理
实验环境
一台已经安装好的 jumperserver 堡垒机
一台windows服务器 作为被管理目标服务器,同时作为客户端连接堡垒机
一台linux服务器,作为被管理目标服务器,也可用作SSH客户端,连接堡垒机
实验步骤
1、打开jumpserver 后台服务
登录jumpserver服务器
切换 root用户
sudo -i
进入py3环境
source /opt/py3/bin/activate
启jumpsever动服务
cd /opt/jumpserver
./jms start all -d
打开所需的docker容器
因为镜像中的容器IP地址发生改变,所以参数不正常。这里要重新创建两个容器。dock 大家注意替换下面命令中的IP地址 192.168.0.11
docker run --name jms_koko2 -d -p 2222:2222 -p 5000:5000 -e CORE_HOST=http://192.168.0.11:57046 -e BOOTSTRAP_TOKEN=360College360Col -e LOG_LEVEL=ERROR jumpserver/jms_koko:1.5.0
docker run --name jms_guacamole2 -d -p 8081:8081 -e JUMPSERVER_SERVER=http://192.168.0.11:57046 -e BOOTSTRAP_TOKEN=360College360Col jumpserver/jms_guacamole:1.5.0
docker start jms_guacamole
检查容器是否启动
docker ps -a
启动nginx
systemctl start nginx
检查nginx是否启动(实验环境中配置的是57047端口)
ss -lntp | grep "57047"
2、登录Windows服务器,访问jumserver
用户名:admin 密码:360College
实验环境中,已经配置了双因子验证,要配合google令牌进行登录。请同学按照提示进行绑定。 先输入密码360College
jumpserver继续点下一步,注意红框中密钥
使用手机或android模拟器扫描二维码下载APP双因素令牌 下载安装打开后如图,点击开始
输入上面的密钥,
点击添加后,动态口令就可以展示出来。将动态口令输入到WEB上。即可绑定成功。
再重新登录,用户名密码不变,(admin:360Collegel)
这时会要求输入动态口令,才能进入。
在实验环境是中,大家已经理解MFA多因子验证。接下来,关闭其它用户的MFA登录。
3、创建普通用户
普通用户是登录jumpserver的用户。 用户名 360 密码360College 如图,这里的MFA认证,即多因子验证,就像我们刚才的管理员使用手机APP生成动态口令验证一样。
4、创建资产--管理用户
管理用户是被管理服务器的root用户,可以在被管理服务器上远程执行脚本。执行脚本依赖组件ansible。
这里为了便于区分,管理用户名、密码均为guanliyonghu
5、创建系统用户
系统用户是被管理服务上,给运维人员使用的用户。可以手动创建,也可以结合ansible推送,我们这里演示ansible推送。 系统用户是运维人员使用的,可以将密码托管到堡垒机,避免记很多密码。
注意红框的标记,取消自动生成密钥
用户名密码均为xitongyonghu(这个密码不用告诉运维人员)
再建一个Windows下的系统用户(windows没有办法推送账号更新,必须手动创建) 我们这里选择手动登录,不托管密码
6、创建资产
新建centos资产,注意IP与实验环境中一致
新建Windows资产,注意IP与实验环境中一致
7、授权资产给用户
8、配置Centos服务器
安装ansible
登录到环境中的centos服务器
切换成root用户
sudo -i 编辑文件 vim /etc/yum.repos.d/ansible
加入以下内容
[epel]
name = all source for ansible
baseurl = https://mirrors.aliyun.com/epel/7/x86_64/
enabled = 1
gpgcheck = 0
[ansible]
name = all source for ansible
baseurl = http://mirrors.aliyun.com/centos/7.3.1611/os/x86_64/
enabled = 1
gpgcheck = 0
安装ansible
yum install ansible -y
创建管理用户
useradd guanliyonghu
修改guanliyonghu 密码为 guanliyonghu
passwd guanliyonghu
给guanliyonghu添加root权限
vim /etc/passwd
修改用户和组ID为0,保存退出。
8、推送xitongyonghu
给centos服务器建立xitongyonghu 点击xitongyonghu
推送用户,将会以guanliyonghu登录centos,创建xitongyonghu
9、测试配置
使用windows登录,堡垒机,可以用火狐新开一个隐私窗口,同时登录管理员和普通用户。
用户名360 密码360College
如果是访问命令提示行,也可以使用ssh连接服务器2222端口。 如图
总结
本文仅讲了堡垒机的基础配置。
还有很多关于权限的设置没有讲到,比如禁止一些命令。 rm -rf vim /etc/passwd
比如,回放录像,大家可以自己研究。 更多功能,也可以参照官网配置。(中文的)
