jump Server开源堡垒机的部署及资产设备管理
堡垒机的主要作用就是审计,对设备维护人员的操作(什么人,什么身份,什么时间、登陆什么设备、执行什么操作、返回什么结果、什么时候退出)进行审计。
环境准备
1、Vmware
2、CentOS7.9.2009(用于部署安装jump server堡垒机)
3、网络为NAT模式,配置好yum源(操作略)
4、关闭防火墙和SELinux
5、另外还需要准备两台以上多余的虚拟机,便于后期添加资产设备,本文准备了一台RHEL8.2和一台win10。
1 一键部署jumpserver
注意:该命令可能第一次执行不成功,多执行几次即可!!
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.23.0/quick_start.sh | bash
等待安装完成:
若初始化数据库时出错:
则按下CTRL+Z,停止后输入
service docker restart #因为防火墙关闭后,需要重启docker
2 配置JumpServer源
cd /opt/jumpserver/config/
vim config.txt
配置端口号为8080:
3 配置Nginx源
vi /etc/yum.repos.d/nginx.repo
添加以下内容,并保存
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
4 重新加载yum源:
yum repolist
5 安装Nginx
yum install nginx -y
6 启动Nginx
systemctl enable nginx --now
如果遇到启动失败,可在/var/log/nginx/error.log文件下查看错误。
上图提示80端口被占用,使用ps -ef | grep 80 找出占用80端口的进程,在使用kill -9 进程ID结束进程即可。
7 配置反向代理:
mv /etc/nginx/conf.d/default.conf /root
vi /etc/nginx/conf.d/jumpserver.conf
#添加以下内容,并保存
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
ssl_certificate cert/server.crt; # 自行设置证书
ssl_certificate_key cert/server.key; # 自行设置证书
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_protocols TLSv1.1 TLSv1.2;
add_header Strict-Transport-Security "max-age=63072000" always;
client_max_body_size 5000m; # 录像及文件上传大小限制
location / {
proxy_pass http://192.168.111.100:8080; #设置为服务器IP
proxy_http_version 1.1;
proxy_buffering off;
proxy_request_buffering off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
8 复制证书到/etc/nginx/cert 目录下
mkdir /etc/nginx/cert
cp -rf /opt/jumpserver/config/nginx/cert/* /etc/nginx/cert/
9 启动Nginx
systemctl restart nginx
10 启动jumpserver
cd /opt/jumpserver-installer-v2.23.0/
./jmsctl.sh start
11 登录jumpserver
浏览器输入http://192.168.111.100:8080登录
用户名:admin
初始密码:admin
登录后会提示更改密码!!
12 创建用户
12.1 创建两个用户组“RHEL8.2”、“Win10”。
12.2 创建两个用户,用户类型为普通用户:
“Shass-rhel”,用于登录Redhat8.2;“Shass-Admin”用于登录Win10。
12.3 创建系统用户
12.3.1 特权用户
12.3.2 普通用户
13 创建资产
13.1 创建资产树
13.2 创建资产
13.2.1 连接测试
点击主机名:
13.3 资产授权
14 用户登录
14.1 Shass-rhel用户登录WEB
14.1.2 查看个人资产
可以看到,已成功为该用户分配了资产。
14.1.3 登录资产设备
可以通过操作下的 >_ 图标或左侧的web终端登录:
输入rhel8.2设备的登陆密码即可远程登录该设备:
若登录失败,则尝试重启jump Server!
14.2 使用Shass-Admin登录WEB
14.2.1 查看个人资产
14.2.2 登录资产设备
设置开机自启:
vim /etc/profile #在文件末为追加该行
/usr/bin/bash /opt/jumpserver-installer-v2.23.0/jmsctl.sh start
重启测试:
启动成功!!
以上是基于jumpserver开源堡垒机部署及资产添加的过程,更多使用说明请访问官网。
感谢您的阅读!!