飞致云旗下的jumpserver开源堡垒机的部署学习

这篇具有很好参考价值的文章主要介绍了飞致云旗下的jumpserver开源堡垒机的部署学习。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

硬件配置: 2核,4G内存,50G磁盘(最低配置要求)

 

准备三台可以访问互联网的 64 位 Linux 主机 一个master 两个node(node节点内存可适当的放宽)#可以集群配置

基本配置: 最小化配置,ssh ,ntp 

|  jumpserver-master   |   192.168.197.213   | 主管理节点(运维使用) |
| :------------------: | :-----------------: | :--------------------: |
| **jumpserver-node1** | **192.168.197.214** | **被管理节点(开发)** |
| **jumpserver-node2** | **192.168.197.215** | **被管理节点(测试)** |

堡垒机的部署分为两种方式:

在线安装

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

飞致云堡垒机,学习,学习

离线安装

我们以v3版本来进行:

cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v3.4.1/jumpserver-installer-v3.4.1.tar.gz
tar -xf jumpserver-offline-installer-v3.4.1-amd64.tar.gz
cd jumpserver-offline-installer-v3.4.1-amd64

飞致云堡垒机,学习,学习

# 根据需要修改配置文件模板, 如果不清楚用途可以跳过修改
cat config-example.txt   #可以尝试直接执行脚本的方式自动的进行配置
# JumpServer configuration file example.
#
# 如果不了解用途可以跳过修改此配置文件, 系统会自动填入
# 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/
​
################################## 镜像配置 ###################################
#
# 国内连接 docker.io 会超时或下载速度较慢, 开启此选项使用华为云镜像加速
# 取代旧版本 DOCKER_IMAGE_PREFIX
#
# DOCKER_IMAGE_MIRROR=1
​
################################## 安装配置 ###################################
#
# JumpServer 数据库持久化目录, 默认情况下录像、任务日志都在此目录
# 请根据实际情况修改, 升级时备份的数据库文件(.sql)和配置文件也会保存到该目录
#
VOLUME_DIR=/data/jumpserver
​
# 加密密钥, 迁移请保证 SECRET_KEY 与旧环境一致, 请勿使用特殊字符串
# (*) Warning: Keep this value secret.
# (*) 勿向任何人泄露 SECRET_KEY
#
SECRET_KEY=
​
# 组件向 core 注册使用的 token, 迁移请保持 BOOTSTRAP_TOKEN 与旧环境一致,
# 请勿使用特殊字符串
# (*) Warning: Keep this value secret.
# (*) 勿向任何人泄露 BOOTSTRAP_TOKEN
#
BOOTSTRAP_TOKEN=
​
# 日志等级 INFO, WARN, ERROR
#
LOG_LEVEL=ERROR
​
# JumpServer 容器使用的网段, 请勿与现有的网络冲突, 根据实际情况自行修改
#
DOCKER_SUBNET=192.168.250.0/24
​
# ipv6 nat, 正常情况下无需开启
# 如果宿主不支持 ipv6 开启此选项将会导致无法获取真实的客户端 ip 地址
#
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64
​
################################# MySQL 配置 ##################################
# 外置 MySQL 需要输入正确的 MySQL 信息, 内置 MySQL 系统会自动处理
#
DB_HOST=mysql
DB_PORT=3306
DB_USER=root
DB_PASSWORD=
DB_NAME=jumpserver
​
# 如果外置 MySQL 需要开启 TLS/SSL 连接, 参考 https://docs.jumpserver.org/zh/master/install/install_security/#ssl
#
# DB_USE_SSL=True
​
################################# Redis 配置 ##################################
# 外置 Redis 需要请输入正确的 Redis 信息, 内置 Redis 系统会自动处理
#
REDIS_HOST=redis
REDIS_PORT=6379
REDIS_PASSWORD=
​
# 如果使用外置 Redis Sentinel, 请手动填写下面内容
#
# REDIS_SENTINEL_HOSTS=mymaster/192.168.100.1:26379,192.168.100.1:26380,192.168.100.1:26381
# REDIS_SENTINEL_PASSWORD=your_sentinel_password
# REDIS_PASSWORD=your_redis_password
# REDIS_SENTINEL_SOCKET_TIMEOUT=5
​
# 如果外置 Redis 需要开启 TLS/SSL 连接, 参考 https://docs.jumpserver.org/zh/master/install/install_security/#redis-ssl
#
# REDIS_USE_SSL=True
​
################################## 访问配置 ###################################
# 对外提供服务端口, 如果与现有服务冲突请自行修改
#
HTTP_PORT=80
SSH_PORT=2222
MAGNUS_MYSQL_PORT=33061
MAGNUS_MARIADB_PORT=33062
MAGNUS_REDIS_PORT=63790
​
################################# HTTPS 配置 #################################
# 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
#
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key
#
​
# Nginx 文件上传下载大小限制
#
CLIENT_MAX_BODY_SIZE=4096m
​
################################## 组件配置 ###################################
# 组件注册使用, 默认情况下向 core 容器注册, 集群环境需要修改为集群 vip 地址
#
CORE_HOST=http://core:8080
PERIOD_TASK_ENABLED=True
​
# Core Session 定义,
# SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期,
# SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示关闭浏览器即 session 过期
#
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=True
​
# Lion 开启字体平滑, 优化体验
#
JUMPSERVER_ENABLE_FONT_SMOOTHING=True
​
################################# XPack 配置 #################################
# XPack 包, 开源版本设置无效
#
RDP_PORT=3389
MAGNUS_POSTGRESQL_PORT=54320
MAGNUS_ORACLE_PORTS=30000-30030
​
################################## 其他配置 ##################################
# 终端使用宿主 HOSTNAME 标识, 首次安装自动生成
#
SERVER_HOSTNAME=${HOSTNAME}
​
# 当前运行的 JumpServer 版本号, 安装和升级完成后自动生成
#
CURRENT_VERSION=
# 安装
./jmsctl.sh install
​
# 启动
./jmsctl.sh start
cd jumpserver-offline-release-v3.4.1-amd64
​
# 启动
./jmsctl.sh start
​
# 停止
./jmsctl.sh down
​
# 卸载
./jmsctl.sh uninstall
​
# 帮助
./jmsctl.sh -h

飞致云堡垒机,学习,学习

会拉取镜像,这个时间会比较长

#可以的话在拉取完成之后为了方便下次的部署,将相关的镜像全部都打包在一个tar文件中,并进行堡垒机的部署操作

飞致云堡垒机,学习,学习

飞致云堡垒机,学习,学习

注意:在使用离线安装初始化部署的时候会只启动redis和mysql等服务,并不会将所有的服务都启动起来,需要我们手动启动bash jmsctl.sh start

飞致云堡垒机,学习,学习

访问:

地址: http://服务器IP地址:<服务运行端口>
用户名: admin
密码: admin

飞致云堡垒机,学习,学习

 🈂️注意:如果说安装完成之后,或是之前想要修改一些堡垒机的参数比如说是密码,账号,端口号,挂载路径(默认是在/data/jumpserver目录)

因为我们会存储一些用户操作的录像所有需要这个目录搭载到的地方越大越好)等等可以在cat /opt/jumpserver/config/config.txt文件中进行修改,修改完成后./jmsctl.sh stop/restart

jumpserver使用

首先我们部署完成并登录堡垒机之后的第一件事,就在基本设置中设置一下当前站点URL,强烈推荐域名的方式设置URL

🈂️ 因为以后在进行资产管理给其他的用户创建账号的时候,会往对方邮箱里面发送一个当前站点的url,这个时候如果基本设置中的url是localhost的话其他人是登录不上去的

 飞致云堡垒机,学习,学习

配置堡垒机邮箱

以网易邮箱为例子:

首先注册一个属于自己的邮箱账号,开启POP3/SMTP服务,获取授权密码

 飞致云堡垒机,学习,学习

邮件服务器设置

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

  

用户类型以及系统用户的使用

权限划分

| 部门 | 部门分组  |  平台登录用户   | 系统用户 |
| :--: | :-------: | :-------------: | :------: |
| 研发 | dev1 dev2 | zmxdev1 zmxdev2 |   dev    |
| 测试 |   test    |     zmxtest     |   test   |
| 运维 |    ops    |     zmxops      |   ops    |

登录jumpserver用户跟系统用户是一致的在v2版本中无法实现

🈂️ 注意:平台登录用户与系统用户是不一致的,但在v3版本中是可以实现这样的一个方式,但是缺点是增加的运维的时间复杂

jumpserver支持三种登录用户
​
1. 普通用户
2. 系统审计员
3. 系统管理员

新建用户组(部门分组)

(依据上面的权限划分)

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

创建平台用户并加入到对应的部门分组中

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 这边因为我们没有可以用的邮箱,所有我们配置一下密码先 🈂️ 其他内一栏信息可以不填写

飞致云堡垒机,学习,学习

点击保存填写

依据权限划分将所需要的用户创建完整

飞致云堡垒机,学习,学习

补充:这里我们不用MFA(第三方登录用户),是因为如果启用的话,要使用谷歌的工具去扫码,获取动态密码

在创建最后一个运维ops用户的时候,我们将创建用户的邮箱设置成真实可用的邮箱进行一个验证操作 !

飞致云堡垒机,学习,学习

 验证成功!

飞致云堡垒机,学习,学习

 点击设置密码,进行重置: 🈂️ 重置完成后登录查看

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 最后的系统管理员的用户列表:

飞致云堡垒机,学习,学习

添加资产

在资产管理--》资产列表---》资产树中创建各个部门节点

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 让后在各个资产树种资产节点里面添加需要管理的资产

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

添加资产

(那在v2版本的时候添加资产这边会有一个特权用户的设置 ,我们需要创建一个用于root权限的特权用户来帮助我们第一次添加资产之后,对资产进行一个初始化机器的时候需要用到,为后面的系统用户的推送提供依据)

飞致云堡垒机,学习,学习

 其他的资产节点,依据集群配置进行补充完成!

飞致云堡垒机,学习,学习

🈂️ 注意:目前还不能登录我们添加的资产,因为我们没有给对应的资产设置系统用户和授权

此时,登录运维ops用户,还没有分配任何的资产,是因为我们没有为其进行授权

飞致云堡垒机,学习,学习

创建资产授权规则

(使我们登录任何用户都有对应管理的资产)

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 点击提交

再次登录ops用户就可以看到授权管理的资产

飞致云堡垒机,学习,学习

依次将其他部门的资产补充完整!!!

此时,虽然登录ops用户可以看到我们为其授权管理的资产,但是我们不能对资产进行登录操作

是因为我们没有为其创建系统用户

飞致云堡垒机,学习,学习

 这里的 系统用户是指我们在linux服务器中使用到的系统用户~

首先以ops运维为例子:在对应的资产里面创建一个用户并修改密码 (其他的资产可以依次进行)
[root@jumpserver-master ~]# useradd zmxops
[root@jumpserver-master ~]# echo "000000" |passwd --stdin zmxops
Changing password for user zmxops.
passwd: all authentication tokens updated successfully.

飞致云堡垒机,学习,学习

 点击添加

飞致云堡垒机,学习,学习

再次登录ops之后就可以看到系统用户了,也可以正常连接

🈂️ 如果是v2版本的话,还需要再授权上面添加新添加的系统用户才可以,v3版本可以自动识别all

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 除了上面的一些操作,我们还需要给一些指定的资产赋予他们特权用户,帮助完成一些root权限的使用,并借助特权用户完成系统账号对对应服务的推送,让我们不需要通过跳板机进入资产内部创建系统用户

那麽怎么给资产添加一个特权用户呢?

在v3版本上:

飞致云堡垒机,学习,学习

 点击创建!

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 特权用户的使用:

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 其他的资产也可以直接使用,方便了很多

🈂️ 上面创建的dev特权用户只是一个演示作用,建议直接使用root用户进行添加,或者在每个资产的初始阶段,创建并赋予一些root的权限

添加特权用户

让后我们可以在jumpserver-wed页面直接在资产上面创建系统用户,让后借助于特权用户通过playbook的方式进行推送创建对应的用户和密码

首先以我们创建并添加到jumpserver-master的特权账号root为例:

进入对应的资产---》账号列表----》root 进行测试账号可连接性

飞致云堡垒机,学习,学习

 🈂️ 也建议在账号模板创建的特权用户,被资产添加之后就行一个连通性测试

飞致云堡垒机,学习,学习让后创建一个随机名字的系统用户进行测试:

 飞致云堡垒机,学习,学习

 让后进行账号推送:

飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

 飞致云堡垒机,学习,学习

资产的会话记录以及命令录像都查审计台查看

注意🈂️ 磁盘一定要大不然,审计记录就无法保存,也就无法看到结果

如果我们不想让admin管理员用户也操作审计的话,可以在用户列表中创建一个专属用户,让后将系统角色进行修改文章来源地址https://www.toymoban.com/news/detail-841797.html

到了这里,关于飞致云旗下的jumpserver开源堡垒机的部署学习的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • K8S系列文章之 开源的堡垒机 jumpserver

    一、jumpserver作为一款开源的堡垒机,不管是企业还是个人,我觉得都是比较合适的,而且使用也比较简单。 二、这里记录一下安装和使用过程。 1、安装,直接docker不是就行 目前没有看到3版本的,3版本的功能更加强大,可以官网学习一下。 2、使用 资产添加不用细讲,主要

    2024年02月14日
    浏览(41)
  • 手动部署jumpserver堡垒机(完整过程+常见错误)

    目录 一、网站架构为什么需要跳板机,堡垒机 二、跳板机和堡垒机概念 跳板机: 堡垒机: 堡垒机的作用: 堡垒机模块 堡垒机的功能 jumperserver官网 三、jumpserver服务器部署 1、环境准备,关闭防火墙 2、配置yum源,准备好阿里云的yum源 3、安装系统初始化环境 5、修改系统的

    2024年02月02日
    浏览(50)
  • JumpServer开源堡垒机与万里安全数据库完成兼容性认证

    近日,中国领先的开源软件提供商FIT2CLOUD飞致云宣布,JumpServer开源堡垒机已经与万里安全数据库软件GreatDB完成兼容性认证。针对产品的功能、性能、兼容性方面,经过双方共同测试,万里安全数据库软件(简称:GreatDB)V1.0、V5.1版本可以与JumpServer企业版产品完全兼容,整体

    2024年02月06日
    浏览(46)
  • 重要通知|关于JumpServer开源堡垒机V2版本产品生命周期的相关说明

    JumpServer(https://github.com/jumpserver)开源项目创立于2014年6月,已经走过了九年的发展历程。经过长期的产品迭代,JumpServer已经成为广受欢迎的开源堡垒机。 JumpServer堡垒机遵循GPL v3开源许可协议,是符合4A(包含认证Authentication 、授权Authorization、 账号Accounting和审计Auditing)规

    2024年02月15日
    浏览(69)
  • 我为什么使用Jumpserver开源堡垒机?以我的应用场景为你解答。

             上一篇文章介绍了“Jumpserver开源堡垒机的LDAP同步配置和MFA多因子认证功能的优化”收到一位小伙伴的私信感觉他对堡垒机的概念都不是那么的清晰,那可不就是曾经第一次接触堡垒机的我吗,于是我便想再写点什么。         我们都知道堡垒机的最大作用其

    2024年01月19日
    浏览(75)
  • 如何在Linux部署JumpServer堡垒机并实现远程访问本地服务

    JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。 下面介绍如何简单设置即可使本地jump server 结合cpolar 内网穿透实现远程访问

    2024年01月24日
    浏览(52)
  • 【堡垒机】jumpserver简介

    Jumpserver 是全球首款完全开源、符合 4A 规范(包含认证Authentication 、授权 Authorization、账号 Accounting 和审计 Auditing)的运维安全审计系统,Jumpserver 通过软件订阅服务或者软硬件一体机的方式,向企业级用户交付多云环境下更好用的堡垒机。 堡垒机是从跳板机(也叫前置机)

    2024年02月02日
    浏览(45)
  • JumpServer 堡垒机安装指南

    什么是JumpServer JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企业以更安全的方式管控和登录所有类型的资产,包括: SSH (Linux / Unix / 网络设备 等) Windows (Web 方式连接 / 原生 RDP 连接) 数据库 (MySQL / Oracle / SQLServer / PostgreSQL 等) Kube

    2024年01月21日
    浏览(40)
  • Linux JumpServer 堡垒机远程访问

    🔥 博客主页 : 小羊失眠啦. 🔖 系列专栏 : C语言 、 Linux 、 Cpolar ❤️ 感谢大家点赞👍收藏⭐评论✍️ 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业

    2024年02月08日
    浏览(44)
  • jumpserver堡垒机配置https访问

    官方文档:https://docs.jumpserver.org/zh/master/ Jumpserver部署关闭防火墙开放策略 按照需要开放端口即可 firewall-cmd --permanent --add-port=22/tcp   开放22端口 firewall-cmd --permanent --add-port=80/tcp 开放80端口 firewall-cmd --permanent --add-port=443/tcp 开放443端口 firewall-cmd --permanent --add-port=2222/tcp 开放

    2024年02月02日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包