Jumpserver-1.3.2使用详解

上一篇文章写了Jumpserver的安装部署,这次我们来写一写怎么使用Jumpserver,你会有不一样的收获的。

一、更改密码

Pq43WT.png

Pq4Yy4.png

Pq4Um9.png

二、更改用户名

  • 如果是在线上,使用默认的用户名容易招攻击,这里我们也修改一下用户名

Pq40Fx.png

三、基本设置

  • 基于后边我们会创建用户,收到的邮件中会有一条路径是去设置密码的,所以这里需要先配置好基本设置

Pq4WTI.png

注意:需要重启jumpserver(./jms restart)

四、邮件设置

  • 后期创建用户需要发送邮件,所以这里我们先来设置一下邮件

Pq45ff.png

Pq4op8.png

Pq4T1S.png

  • 接下来说一说上边的SMTP密码填写什么,首先是登录自己的QQ邮箱网页版,“设置”——“账户”——“POP3/IMAP/SMTP/Exchange/CardDAV/CalDAV服务”——“POP3/SMTP服务”——“开启”——至于怎么开启就自行看了,我是发送的短信开启的,发送了之后会弹出一个端口,如下图,图中的授权码就是SMTP密码需要填写的东西,值得注意的是,下图中的授权码的空格不能带上,需把空格删除之后再填入。

Pq4qmj.png

五、添加用户

  • “用户管理”——“用户列表”——“创建用户”

Pq4O7n.png

Pq4vt0.png

  • 然后新用户的邮箱就会收到一封邮件进行设置密码

Pq5SpT.png

Pq5p1U.png

六、添加用户组

  • “用户管理”——“用户组”——“创建用户组”

Pq5CX4.png

Pq5FB9.png

七、创建资产树

  • 节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作
    注:如果有 linux 资产和 windows 资产,建议先建立 Linux 节点与 Windows 节点,不然授权时不好处理

Pq5k7R.png

八、创建管理用户

  • 管理用户是资产上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等
  • 如果使用ssh私钥管理资产,需要先在资产上设置,这里举个例子供参考(本例登录资产使用root为例)
(1)在资产上生成 root 账户的公钥和私钥
1
$ ssh-keygen -t rsa  # 默认会输入公钥和私钥文件到 ~/.ssh 目录
(2)将公钥输出到文件 authorized_keys 文件,并修改权限
1
2
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
$ chmod 400 ~/.ssh/authorized_keys
(3)打开RSA验证相关设置
1
2
3
4
5
$ vim /etc/ssh/sshd_config

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
(4)重启 ssh 服务
1
$ service sshd restart
(5)上传 ~/.ssh 目录下的 id_rsa 私钥到 jumpserver 的管理用户中
  • 这样就可以使用 ssh私钥 进行管理服务器
  • 名称可以按资产树来命名。用户名root。密码和 SSH 私钥必填一个

Pq5Vtx.png

九、创建系统用户

  • 系统用户是 Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户
  • 系统用户的 Sudo 栏设定用户的 sudo 权限

这里简单举几个例子

1
2
3
4
5
6
Sudo /bin/su  # 当前系统用户可以免sudo密码执行sudo su命令

Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 当前系统用户可以免sudo密码执行git php cat more less tail

Sudo !/usr/bin/yum # 禁止执行 yum 权限
  • 此处的权限应该根据使用用户的需求汇总后定制,原则上给予最小权限即可
  • 系统用户创建时,如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机、Windows )不支持 Ansible, 请手动填写资产上已有的账号及账号密码
  • 如果不想使用 Jumpserver 推送用户,请去掉自动生成密钥、自动推送勾选。手动填写资产上已有的账号及账号密码
1
ALL,!bin/bash,!/bin/tcsh,!/bin/su,!/usr/bin/passwd root,!/bin/vi /etc/sudoers,!/usr/bin/vim /etc/sudoers,!/usr/sbin/visudo,!/usr/bin/sudo -i,!/bin/vi /etc/ssh/*,!/usr/bin/vim /etc/ssh/*,!/bin/chmod 777 /etc/*,!/bin/chmod 777 /etc/*,!/bin/chmod 777 *,!/bin/chmod -R 777 *,!/bin/rm /*,!/bin/rm /,!/bin/rm -rf /,!/bin/rm -rf /*,!/bin/rm /etc,!/bin/rm -r /etc,!/bin/rm -rf /etc,!/bin/rm /etc/*,!/bin/rm -r /etc/*,!/bin/rm -rf /etc/*,!/bin/rm /root,!/bin/rm -r /root,!/bin/rm -rf /root,!/bin/rm /root/*,!/bin/rm -r /root/*,!/bin/rm -rf /root/*,!/bin/rm /bin,!/bin/rm -r /bin,!/bin/rm -rf /bin,!/bin/rm /bin/*,!/bin/rm -r /bin/*,!/bin/rm -rf /bin/*

Pq5ucD.png

十、创建资产

  • 点击页面左侧的“资产管理”菜单下的“资产列表”按钮,查看当前所有的资产列表。
  • 点击页面左上角的“创建资产”按钮,进入资产创建页面,填写资产信息。
  • IP 地址和管理用户要确保正确,确保所选的管理用户的用户名和密码能”牢靠”地登录指定的 IP 主机上。资产的系统平台也务必正确填写。公网 IP 信息只用于展示,可不填,Jumpserver 连接资产使用的是 IP 信息。
  • 资产创建信息填写好保存之后,可测试资产是否能正确连接

注:被连接资产需要python组件,且版本大于等于2.6,Ubuntu等资产默认不允许root用户远程ssh登录,请自行处理

  • 如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上

Pq5Kje.png

Pq5QnH.png

Pq5lBd.png

Pq5GNt.png

十一、网域列表

  • 网域功能是为了解决部分环境无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录
  • 点击页面左侧的“网域列表”按钮,查看所有网域列表
  • 点击页面左上角的“创建网域”按钮,进入网域创建页面,选择资产里用作网域的网关服务器

注:混合云适用

  • 点击网域的名称,进入网域详情列表。
  • 点击页面的“网关”按钮,选择网关列表的“创建网关”按钮,进入网关创建页面,填写网关信息。
  • IP信息一般默认填写网域资产的IP即可(如用作网域的资产有多块网卡和IP地址,选能与jumpserer通信的任一IP即可)

注:用户名与密码可以使用网关资产上已存在的任一拥有执行 ssh 命令权限的用户

注:保存信息后点击测试连接,确定设置无误后到资产列表添加需要使用网关登录的资产即可。

十二、创建授权规则

  • 节点,对应的是资产,代表该节点下的所有资产
  • 用户组,对应的是用户,代表该用户组下所有的用户
  • 系统用户,及所选的用户组下的用户能通过该系统用户使用所选节点下的资产
  • 节点,用户组,系统用户是一对一的关系,所以当拥有 Linux、Windows 不同类型资产时,应该分别给 Linux 资产和 Windows 资产创建授权规则。

Pq5J4P.png

Pq5UgS.png

  • 原则上,一个授权只能同时授予一个用户或者一个组
  • 意思是:把个人的资产授权给个人,把部门的资产授权给部门,把项目的资产授权给项目…
  • 职责不同,权限就不同,按照职责制定系统用户
  • 这样授权就不会乱

十三、用户使用资产(web界面)

  • 用户登录jumpserver

Pq5rEn.png

  • 连接使用资产

Pq5RvF.png

Pq5T4x.png

  • 这样就连接上了,整个过程不需要用户输入资产的任何信息

Pq5LvD.png

  • 上图可以看出,是使用的web用户登录的(即我们上边创建的系统用户),我对该用户设置了一些sudo权限, 如下图

Pq5vbd.png

  • 接下来我们试一试这个授权是否成功,运行rm -rf /etc/passwd命令查看是否可以运行,如果无法运行该命令,说明上边的授权已经生效

PqIi28.png

  • 如果想要断开连接

PqIVbj.png

PqIn5q.png

十四、用户使用资产(命令行页面)

  • 工作中我们可以使用上边的web端,有些人不太喜欢这样的web界面,那我们也可以直接使用xshell等工具,直接连接跳板机,然后从跳板机连接我们所管理的服务器,而那些服务器,就设置ssh策略,只允许跳板机的IP登录即可,这样即使你知道其它服务器的IP地址,也无法直接连接,必须从跳板机连接上去

PqIGqJ.png

PqIaPx.png

PqIrse.png

PqIgII.png

PqI5QS.png

博主QQ:1012405802
技术交流QQ群:830339411
版权声明:网站内容有原创和转载,如有侵权,请联系删除,谢谢!!
感谢打赏,93bok因你们而精彩!!(支付宝支持花呗)
0%