企业通用型开源跳板机jumpserver的使用
链接:https://pan.baidu.com/s/1-pHfoyUkti1ILRo9Fkn3WQ
提取码:jzix
复制这段内容后打开百度网盘手机App,操作更方便哦
【企业案例】
运维小A是一个刚刚到公司没几个月的新人运维。在投入工作的几个月里,他发现公司的服务器运维管理中对于服务器账号的管理十分混乱,有的运维甚至有好几个工作账号,而且能随时登陆root账户。因此,每当有运维工作人员调岗或离职,服务器的所有账户密码都会被重新改变一次,不仅费时费力,密码也不好记忆,十分的麻烦。于是,几经思考,小A向领导建议启用开源型的跳板机jumpserver来改善目前混乱的状况。
现要求如下:
- 部署一台服务器为jumpserver跳板机
- 创建一个jumpserver普通账号,推送sudo授权信息到管理服务器。
- 用xshell登陆跳板机进行授权测试
【环境准备】
#操作系统
[root@yangwenbo ~]# cat /etc/redhat-release
CentOS release 6.5 (Final)
#内核版本
[root@yangwenbo ~]# uname -r
2.6.32-431.el6.x86_64
主机网络参数设置:
| 主机名 | eth0 | 用途 |
|---|---|---|
| jumpServer | 192.168.200.81/24 | 跳板机 |
| jumpClient | 192.168.200.93/24 | 被管理服务器 |
1. 公网源部署jumpserver跳板机
1.1 建立阿里云公网源yum仓库
[root@jumpServer ~]# yum -y install wget
[root@jumpServer ~]# which wget
/usr/bin/wget
[root@jumpServer ~]# cd /etc/yum.repos.d/
[root@jumpServer yum.repos.d]# ls
bak CentOS-Media.repo
[root@jumpServer yum.repos.d]# mv CentOS-Media.repo bak/
[root@jumpServer yum.repos.d]# ls
bak
[root@jumpServer yum.repos.d]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
[root@jumpServer yum.repos.d]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
[root@jumpServer yum.repos.d]# ls
bak CentOS-Base.repo epel.repo #缺一不可
[root@jumpServer yum.repos.d]# yum -y clean all #清除缓存
[root@jumpServer yum.repos.d]# yum makecache #建立缓存
1.2 下载jumpserver源码安装包,并解包
https://github.com/jumpserver/jumpserver/archive/0.3.2.tar.gz
[root@jumpServer ~]# ls
jumpserver-0.3.2.tar.gz
[root@jumpServer ~]# tar xf jumpserver-0.3.2.tar.gz -C /usr/local/
[root@jumpServer ~]# cd /usr/local/
[root@jumpServer local]# mv jumpserver-0.3.2 jumpserver-master
[root@jumpServer local]# cd jumpserver-master/
特别注意:jumpserver的包绝不能解压在root目录里,会出现权限问题
1.3 运行jumpserver自带的自动安装脚本
[root@jumpServer jumpserver-master]# pwd
/usr/local/jumpserver-master
[root@jumpServer jumpserver-master]# cd install/
[root@jumpServer install]# python install.py
#安装过程略,脚本会自动安装所需依赖包以及pip包,请耐心等待....
注意:自动安装过程会卡在几处地方进行人机交互输入
位置(1):
位置(2):
位置(3):
1.4 通过浏览器进行访问测试,在桌面浏览器里输入jumpserver服务器http://192.168.200.81:8000
[root@jumpServer install]# netstat -antup | grep :8000
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 3658/python
tcp 0 0 :::8000 :::* LISTEN 3658/python
2. jumpserver的基本使用
2.1 注册账户并初次登陆跳板机
2.1.1 添加用户
流程:用户管理-查看用户-添加用户
注册用户以后会出现下图所示:登陆密码及密钥密码,请务必作记录
2.1.2 修改用户的Web登陆密码
2.1.3 下载账户xshell远程登录密钥
下载密钥以后,妥善保存。
2.1.4 xshell远程登录工具导入密钥对
客户机xshell导入密钥:工具-用户密钥管理者
2.1.5 xshell建立通过密钥对访问的远程连接
2.2 账户资产授权
2.2.1 添加资产
流程:资产管理-查看资产-添加资产
2.2.2 添加sudo
流程:授权管理-sudo-添加别名
2.2.3 添加系统用户
- 流程:授权管理-系统用户-添加
- 注意:必须先在被管理服务器主机上创建系统用户
[root@jumpClient ~]# useradd admin
[root@jumpClient ~]# echo "123" | passwd --stdin admin
Changing password for user admin.
passwd: all authentication tokens updated successfully.
2.2.4 推送系统用户
2.2.5 添加授权规则
2.2.6 再次测试登陆
3.3 上传和下载文件
3.4 跳板机登陆日志审计
