堡垒机
堡垒机
在特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段,实时收集和监控网络环境中的每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
我们又把堡垒机叫做跳板机。简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。堡垒机还可以用来做资产管理、监控、用户授权等。
虚拟机 | IP |
jumpserver(搭建堡垒机) | 192.168.200.36 |
client(需要添加的资产) | 192.168.200.37 |
端口 | 作用 | 说明 |
---|---|---|
22 | SSH | SSH协议连接服务器 |
80,8080 | WEB服务 | 进入网页的端口,可以自行修改 |
2222 | jumpserver终端连接端口 | 使用xshell等连接 |
一 安装部署 - JumpServer
https://docs.jumpserver.org/zh/v2.17.0/install/setup_by_fast/
一键部署或者离线部署
一键部署:(有网的情况下)
# 默认会安装到 /opt/jumpserver-installer-v2.17.0 目录
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash
离线部署:
从飞致云社区 下载最新的 linux/amd64 离线包, 并上传到部署服务器的 /opt 目录
cd /opt
tar -xf jumpserver-offline-installer-v2.17.0-amd64-81.tar.gz
cd jumpserver-offline-installer-v2.17.0-amd64-81
# 安装
./jmsctl.sh install
# 启动
./jmsctl.sh start
完成后用IP进入到网页中
用户名和密码都是 admin (也可以重设一下密码)
出现该界面,即为搭建成功。
二 基础环境配置
1.关闭防火墙
#systemctl stop firewalld 关闭防火墙
#systemctl disable firewalld 禁止开机自启
#setenforce 0 临时关闭selinux
#sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 永久关闭selinux
#yum install vim net-tools -y 安装需要使用的工具
2.进入管理终端
在搭建堡垒机的服务器里输入以下命令
ssh -p 2222 admin@127.0.0.1
#ssh 登录协议
#-p 选择登录端口,jumpserver登录端口为2222
#admin@127.0.0.1 #终端用户名为admin,IP为本地IP127.0.0.1
#登录密码为你jumpserver登录密码
出现该界面即登录成功。jumpserver完整的搭建成功
3.给管理终端设置ssh免密登录
我们可以通过配置ssh秘钥来进行免密登录,输入以下命令:
ssh-keygen #生成ssh秘钥,公钥。生成在/root/.ssh/下
cat /root/.ssh/id_rsa.pub #查看公钥
#将复制的公钥粘贴到指定位置
三 用户管理
这个用户是用来登录Jumpserver堡垒机的。
1.创建一个普通用户
用户管理-用户列表-创建
账户除了用户组暂时不用填 认证——密码策略——设置密码
然后提交即可
2.资产管理
资产管理——系统用户——特权用户——创建
普通用户和特权用户的区别:普通用户不是root管理员账号,而特权用户是。特权用户可以获得虚拟机的一些信息等。
设置名称——选择文件
ssh-keygen -f jumpserver2 #在当前目录下,生成jumpserver2的公钥私钥。
然后在xftp中,将创立的私钥拉出来
选择文件——选中jumpserver2并且上传——提交
3.创建资产
此时就要开始绑定服务器/虚拟机了。
右键Default——创建节点——进入新创建的节点——创建
注意:虚拟机名不需要和主机名一样,虚拟机名不需要和主机名一样
出现下面界面即创建资产成功(创建成功,但是并没有进行绑定)
4.绑定资产
设置linux名称——添加用户——设置用户密码——visudo
ssh-copy-id -i jumpserver2.pub jumpserver2@192.168.200.37
#复制ssh到jumpserver2@192.168.200.37
然后就绑定成功了,不过需要进行测试。
四 权限管理
1.创建普通用户
资产管理——系统用户——普通用户——创建——ssh
创建普通用户,用户名和密码写你虚拟机的。
权限管理——资产授权——创建
2.设置普通用户
打开自动推送
3.管理页面
web终端:
文件管理:
五 身份认证
1.创建用户
用户管理——用户列表——创建
多创建几个用户,用来分配给用户组。多创建几个系统审计员和用户
2.创建用户组
然后提交
3.用户权限说明
-
普通用户权限:就是用来操作资产的普通用户,无法查看仪表盘,日志等操作界面。
-
普通用户的界面:普通用户只有一个用户界面。因为前面我们给用户分配了资产,所以这里“我的资产”中有机器。批量命名/web终端/文件管理均可使用。前提是管理员分配了资产。
-
审计员权限:拥有普通用户的权限,并且可以查看日志仪表盘等界面。
-
审计员用户界面:和管理员一样,他们也有两个界面,一个管理界面一个用户界面