安装

安装说明

如果要使用进行源码编译安装,官方要求如下:

选项内容
Linux kernel>= 4.0
softwget curl tar gettext iptables python
DBmysql >=5.7
mariadb >=10.2
redis >=5.0

由于编译安装难度过大,安装的组件非常多,推荐使用官方一键安装脚本、离线安装或者直接使用docker部署都可以。

本文档基于离线安装进行编写

安装jumpserver

最新版本为v2.21.4,下载地址为:https://cdn0-download-offline-installer.fit2cloud.com/jumpserver/jumpserver-offline-installer-v2.21.4-amd64-194.tar.gz下载之前需要注册一个账号
下载完成后上传安装包到服务器,开始解压、安装

tar xvf jumpserver-offline-installer-v2.21.4-amd64-194.tar.gz

cd jumpserver-installer-v2.21.4/

# 执行安装脚本
./jmsctl.sh install

# 安装时需要注意一下设置:

>>> Install and Configure JumpServer
# SECRETE_KEY和BOOTSTRAP_TOKEN要记住
1. Configure Private Key 
SECRETE_KEY:     
BOOTSTRAP_TOKEN: 
complete

 # 安装目录,默认为/opt/jumpserver,如果要修改为其他目录请选择Y
2. Configure Persistent Directory
Do you need custom persistent store, will use the default directory /opt/jumpserver? (y/n)  (default n): n
complete

# 是否使用外置数据库,选择n
3. Configure MySQL 
Do you want to use external MySQL? (y/n)  (default n): n
complete

# 配置redis,选择n
4. Configure Redis 
Do you want to use external Redis? (y/n)  (default n): n
complete

# 是否自定义jumpserver访问端口,默认为80端口,需要就选择y,不要和其他应用端口冲突
5. Configure External Port 
Do you need to customize the JumpServer external port? (y/n)  (default n): n
complete

6. Init JumpServer Database
Creating network "jms_net" with driver "bridge"

安装完成后,会在底部显示相关安装信息

>>> The Installation is Complete
7. You can use the following command to start, and then visit
cd /root/jumpserver-offline-installer-v2.21.4-amd64-194
 # 启动服务
./jmsctl.sh start

8. Other management commands
# 常用选项
./jmsctl.sh stop # 停止服务
./jmsctl.sh restart # 重启服务
./jmsctl.sh backup # 备份jumpserver
./jmsctl.sh upgrade # 升级jumpserver
# 查看帮助,使用 --help选项
For more commands, you can enter ./jmsctl.sh --help to understand 

10. Web access
# 访问地址 
http://192.168.1.154:80
# 默认登录用户名和密码,正式环境请及时修改密码
Default username: admin  Default password: admin 

11. SSH/SFTP access 
# ssh选项、sftp选项
ssh -p2222 admin@192.168.1.154 
sftp -P2222 admin@192.168.1.154 

13. More information 
# 官方网站和文档
Official Website: https://www.jumpserver.org/
Documentation: https://docs.jumpserver.org/

配置jumpserver

修改登录密码

在浏览器输入:http://192.168.1.154, 即可打开页面,如果自定了端口请使用:http://ip:端口进行访问
输入用户名:admin,密码:admin,进行登录,登录成功提示需要修改初始密码,修改成功以后,再次登录即可

image.png
主页面:
image.png

设置邮箱

点击右上角齿轮标志image.png打开系统设置
点击邮件服务器>点击设置image.png

输入如下信息,点击提交完成设置
image.png

配置完成以后,进行测试,验证配置是否正常
image.png

收到邮件,邮箱配置成功
image.png

新建管理节点

点击:**资产管理>资产列表>右键Default>创建节点,**新建2个节点:Linux和Windows
image.png

添加特权用户

特权用户指的是操作系统里的最高权限用户,Linux一般为root,Windows一般为administrator,是jumpserver用来推送系统用户和获取硬件信息等其他功能所用的账号,并且只能使用ssh协议进行登录
点击:资产管理>系统用户>特权用户,添加一个特权用户,输入如下信息
image.png
image.png

创建资产

以Linux为例
点击资产管理>资产列表>创建,新建一个资产列表,输入完成点击底部的提交完成创建
image.png

资产创建信息填写好保存之后隔几秒钟时间刷新一下网页,ssh 协议资产的可连接图标会显示 绿色,且 **硬件信息 **会显示出来
image.png
image.png
如果刷新多次如上2项,仍然不正常,请检查是否有如下情况:

  1. 如果 可连接 的图标是 黄色 或者 红色,可以点击 资产 的 名称,在右侧 快速修改 - 测试可连接性 点击 测试 按钮,根据错误提示处理
  2. 被连接 Linux 资产需要 python 组件,且版本大于等于 2.6,Ubuntu 等资产默认不允许 root 用户远程 ssh 登录,请自行处理,Windows 资产需要手动安装 OpenSSH Server
  3. 如果资产不能正常连接,请检查 特权用户 的 用户名 和 **密码 **是否正确以及该 特权用户 是否能使用 SSH 从 JumpServer 主机正确登录到资产主机上
添加应用

点击应用管理>数据库>创建,创建一个mariadb数据库应用,输入信息,添加提交完成添加
image.png

创建普通用户

创建登录资产时所用的用户,这个用户就是Linxu上的普通账户,可以在服务器上先行创建好,也可以由jumpserver关联的特权用户进行自动创建然后推送到资产上
点击资产管理 >系统用户 > 创建普通用户>ssh,创建一个SSH协议系统用户,点击提交,完成添加
image.png

创建应用账户

点击资产管理 >系统用户 > 创建普通用户>创建>mariadb,输入添加的参数,点击提交完成mariadb
image.png

添加命令过滤

可以对系统账户绑定一些命令,对于这些命令允许的的可以使用,策略禁止的无法使用,比如rm或者cpmv之类的命令
点击资产管理>命令过滤>创建,添加一些规则
image.png
添加完命令以后,对这些命令配置策略,允许执行或者拒绝执行,点击规则栏里对应的命令
image.png
点击命令过滤器规则
image.png
在内容里添加,*rm.*,号匹配rm后面的参数,比如rm -rf,rm -f,按照规划把需要过滤的命令全部添加规则即可
image.png
添加完成以后,在系统用户里对

添加jumpserver用户

jumpserver用户指的是登录jumpserver堡垒机的用户。在此添加2个用户zhangsan和lisi
点击用户管理>用户列表>创建,依次完成zhansan和lisi的用户创建
image.png
image.png

为用户分配资产

创建完资产以后,需要为用户分配资产授权。
示例授权zhangsan访问测试机203的权限,授权lisi访问mariadb的权限
授权zhangsan访问测试机203的权限
点击权限管理>资产授权>选择资产>创建
分配资产时,用户组千万不要选择,否则在同一组的人能互相看见、访问对方已经互相授权的资产
image.png
输入如下信息,点击提交完成分配
image.png
授权lisi访问mariadb数据库
点击权限管理>应用授权>选择资产>创建>mariadb
image.png
步骤和上面差不多,不在叙述
image.png

测试

完成所有步骤以后,分别登录zhangsan和lisi两个用户验证,授权是否正常
zhangsan测试
登录zhangsan,点击左上角的web终端
image.png
点击左侧列表,选择授权的服务器
image.png
单击打开服务器,选择Web CLI
image.png

执行命令进行验证

image.png
查看过滤命令,提示命令XX是被禁止的

image.png
lisi测试
操作步骤和张三一致,只不过把Linux换成了mariadb

image.png

查看审计

登录管理员账户,点击视图>审计台
image.png
点击会话审计:
会话记录
显示当前正在进行的会话记录和历史会话记录
在线会话:
image.png
历史会话:image.png
命令记录
审计用户在机器上使用过的命令
image.png
点击记录后面的转到,可以查看详细执行情况,点击回放,可以查看本次操作的录像
image.png
文件传输
审计用户上传到服务器的文件
image.png

缺点

在命令记录里,执行的SQL语句记录不太完善,不过可以通过历史记录的回放录像查看操作过程
image.png

使用之前的问题点

在使用jumpserver之前,应该需要考虑如下几点?

  1. jumpserver部署完以后,如何访问?
  2. 哪些人使用,该如何授权?
  3. 服务器的ssh-key或者登录密码是否管理混乱,是否需要进行回收?
  4. 如果研发嫌没办法使用可视化管理软件怎么办?比如使用Navicat、RedisDesktopManager等?
  5. **Linux是否有些文件权限是777,如果有的话需要回收,回收是否对程序有什么影响?! **

参考来源

jumpserver官方文档
https://docs.jumpserver.org/zh/master/

# mysql # docker # linux
Logo
CSDN学习社区

CSDN联合极客时间,共同打造面向开发者的精品内容学习社区,助力成长!

更多推荐

cover

用 OpenAI Assistants 做大模型应用开发

avatar CSDN学习社区
cover

1 小时解读鸿蒙 10 大热点问题

avatar CSDN学习社区
cover

1 小时解读鸿蒙 10 大热点问题

avatar CSDN学习社区