Jumpserver实践
提前准备好jumpserver服务端
source /opt/py3/bin/activate /opt/jumpserver/jms start -d # koko /opt/koko/koko -d /etc/init.d/guacd start sh /opt/tomcat9/bin/startup.sh # nginx nginx # mysql # redis # 快捷登录配置,以及免密登录客户端 [root@jumpserver ~ 16:20:50]$tail -2 ~/.bash_profile alias sshweb01="ssh root@192.168.178.145" alias sshdb01="ssh root@192.168.178.146"
只允许跳板机登录到client
注意,最好提前设置免密登录,来的方便 1.设置防火墙规则 client机器可以iptables规则,只允许跳板机连接 iptables -A INPUT -s 192.168.178.134 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j REJECT 2.检查客户端机器防火墙规则 [root@web-01 ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 192.168.178.134 anywhere tcp dpt:ssh REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
修改amdin密码
1. 设置邮箱发送
第二步,邮件基本设置,必须,否则无法发邮件
用户创建
此时应该是收到了用户创建的邮件
普通用户首次登录
资产管理配置
添加管理用户
管理用户是资产(被管控的服务器)上的root用户,或者是拥有sudo权限的用户,jumpserver使用该用户进行推送系统用户,获取资产硬件信息等。
管理用户是,jumpserver操作被管理机器时的用户
加一个root用户,进行使用
添加资产主机
可继续添加主机
导出资产文件
系统用户
系统用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(`ssh web@some-host`),而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`); 简单来说是用户使用自己的用户名登录 JumpServer,JumpServer 使用系统用户登录资产。 系统用户创建时,如果选择了自动推送,JumpServer 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。
添加过程
jumpserver创建系统用户,会自动基于ansible在目标机器上创建该用户
资产授权
使用资产
1. 系统内建webTerminal
2. 客户端工具
admin的用户界面/管理界面
web终端
得提前配置好luna,方可使用该功能
ssh终端
ssh得配置好koko组件方可使用
# 连接的命令就已经不同了,使用ssh命令,以及jumpserver平台账号,以及koko端口 [yuchao@yumac ~]$ssh admin@192.168.178.134 -p2222
1. 输入p显示主机信息,然后输入主机id,即可自动连接,注意我们资产机,是不允许ssh登录的,只能通过jumpserver 可以正常输入普通命令 使用sudo命令,权限被/etc/sudoers文件配置所控制
会话管理
监控会话
点击会话ID,可以查看该会话,执行了哪些命令,以及强制中断该会话
中断会话
命令监控
历史会话
jumpserver提供了强大的历史会话功能,查看命令历史,操作视频回放,最大程度定位运维安全。