Introducción a Jumpserver
Sitio web oficial: http://www.jumpserver.org/
Documentación de instalación: http://docs.jumpserver.org/zh/docs/step_by_step.html
Descripción general de una máquina de trampolín: una
máquina de trampolín es un servidor. El personal de desarrollo u operación y mantenimiento debe iniciar sesión en este servidor de manera unificada durante el proceso de mantenimiento y luego iniciar sesión en el dispositivo de destino para el mantenimiento y la operación.
Las deficiencias del saltador: no se da cuenta del control y auditoría del comportamiento de operación del personal de operación y mantenimiento, y aún habrá accidentes causados por mal funcionamiento y operación ilegal en el proceso de uso del saltador. Una vez que ocurre un accidente de operación, Es difícil localizar rápidamente la causa y la persona responsable.
Descripción general del segundo
host bastión: el host bastión, es decir, en un entorno de red específico, para proteger la red y los datos de los ataques y la destrucción de usuarios externos e internos, se utilizan varios medios técnicos para recopilar y monitorear el entorno de red en tiempo real El estado del sistema, los incidentes de seguridad y las actividades de la red de cada componente pueden alarmarse de forma centralizada, tratarse de manera oportuna y auditarse y asignarse responsabilidades.
Resumen: La máquina de la fortaleza tiene más funciones, como recolección en tiempo real, monitoreo del entorno de red y alarma centralizada que la máquina de trampolín.
Tres Descripción general de Jumpserver:
Jumpserver es un sistema de máquina de trampolín (máquina de fortaleza) de código abierto desarrollado con Python y Django, que puede realizar funciones de autenticación, autorización, auditoría y operación automatizada y mantenimiento, y ayudar a las empresas a administrar de manera eficiente usuarios, activos, permisos y auditorías. Es completamente de código abierto, y podemos realizar un desarrollo secundario para que logre más funciones.
Jumpserver adopta una arquitectura distribuida, admite salas de múltiples computadoras y la implementación entre regiones, el nodo central proporciona API y cada sala de computadoras implementa nodos de inicio de sesión, que se pueden escalar horizontalmente sin restricciones de concurrencia.
Características:
Autenticación unificada de autenticación
Gestión de activos CMDB
Auditoría de registros
Operación y mantenimiento automatizados (ansible)
Implementar el entorno operativo del servidor de salto
Servidor Jumpserver: jinkai03 192.168.186.144
Cliente: jinkai02 192.168.186.141
Establezca reglas de firewall firewalld para permitir que pase el puerto designado
[root @ jinkai02 ~] # firewall-cmd --zone = public --add-port = 80 / tcp --permanent
éxito
[root @ jinkai02 ~] # firewall-cmd --zone = public --add-port = 8080 / tcp --permanent
éxito
[root @ jinkai02 ~] # firewall-cmd --zone = public --add-port = 2222 / tcp --permanent
Éxito
O apague el firewall directamente
[root @ jinkai02 ~] # systemctl detener firewalld
[root @ jinkai02 ~] # systemctl disbale firewalld
Cerrar selinux
[root @ jinkai02 ~] # setenforce 0
Para desactivar selinux permanentemente, debe ir a / etc / selinux / config y cambiar la aplicación a deshabilitado
Modifique el juego de caracteres; de lo contrario, puede informar un error de entrada / salida, porque el chino está impreso en el registro.
[root @ jinkai02 ~] # localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
[root @ jinkai02 ~] # exportar LC_ALL = zh_CN.UTF-8
[root @ jinkai02 ~] # echo 'LANG = "zh_CN.UTF-8"'> /etc/locale.conf
Instalar servidor de salto
Instalación del script del sitio web oficial:
curl -sSL
https://github.com/jumpserver/jumpserver/releases/download/v2.5.3/quick_start.sh | sh
El tiempo de ejecución será muy largo, espere pacientemente, después de que se complete la ejecución, se le pedirá que ingrese:
cd / opt / setuptools /
Ejecución: ./jmsctl.sh start
Iniciar sesión en jumpserver
Ingrese la IP para iniciar sesión en Jumpserver en la página web, la cuenta predeterminada es admin y la contraseña es admin
El primer inicio de sesión le pedirá que cambie la contraseña
Restablecimiento de contraseña: administrador --- información personal --- configuración de contraseña de inicio de sesión
Prueba de inicio de sesión:
Inicialización de la plataforma Jumpserver - elementos de configuración del sistema:
Configuración básica: complete la IP de la máquina bastión y el nombre del asunto del correo electrónico
Configuración de correo: host SMTP, puerto SMTP, cuenta SMTP, contraseña SMTP, una vez completada la configuración, haga clic en la conexión de prueba para ver si puede recibir correo
Esta configuración debe reiniciar manualmente el servicio jms para que surta efecto
Crea una cuenta de administración
El usuario administrativo es la raíz del servidor, o un usuario con el permiso NOPASSWD: ALL sudo, Jumpserver usa este usuario para impulsar a los usuarios del sistema, obtener información de hardware de activos, etc.
Haga clic en Administración de activos → Administrar usuario → Crear
Crear usuario de administración: se recomienda que el nombre (nombre de usuario), el nombre de usuario y el nombre sean iguales, la contraseña está vacía, establezca la clave SSH, inicie sesión sin contraseña
Crea una clave secreta:
[root @ jinkai03 ~] # ssh-keygen
[root @ jinkai03 ~] # ls /root/.ssh/
claves_autorizadas id_rsa id_rsa.pub hosts_conocidos
[root @ jinkai03 ~] # cat /root/.ssh/id_rsa
Copie y pegue la clave privada que se muestra en Windows para crear un archivo de texto e impórtelo
Después de hacer clic en enviar, el usuario de linuxprobe se crea correctamente
Luego, debe crear el usuario linuxprobe en la máquina cliente y copiar la clave pública en la máquina bastión al archivo autorizado_keys
[root @ jinkai03 ~] # cat /root/.ssh/id_rsa.pub
-------------------------------------------------- -compendio----------------------
[root @ jinkai02 ~] # useradd linuxprobe
[root @ jinkai02 ~] # su-linuxprobe
[linuxprobe @ jinkai02 ~] $ mkdir .ssh
[linuxprobe @ jinkai02 ~] $ vim .ssh / claves_autorizadas
Pegue la clave pública de la máquina bastión ------- omitir -----------
[linuxprobe @ jinkai02 ~] $ chmod 700 .ssh /
[linuxprobe @ jinkai02 ~] $ chmod 400 .ssh / claves_autorizadas
Pruebe si la máquina bastión puede iniciar sesión en el cliente jinkai02 a través de la clave privada
[root @ jinkai03 .ssh] # ssh [email protected]
Último inicio de sesión: lun 28 dic 23:57:16 2020
[linuxprobe @ jinkai02 ~] $
De esta forma, se crea correctamente el usuario de gestión linuxprobe de nuestro servidor de salto. En el futuro, cada vez que se agrega una nueva máquina, el usuario linuxprobe debe agregarse a la nueva máquina y la clave pública se copia en el archivo Authorized_keys.
Crea un usuario normal
Los usuarios comunes son los usuarios que inician sesión en la interfaz del navegador Jumpserver, o los usuarios que inician sesión en la máquina bastión mediante la línea de comandos.
Primero, necesita crear un grupo de usuarios para operación y mantenimiento, administración de usuarios → grupo de usuarios → crear grupo de usuarios
Gestión de usuarios → lista de usuarios → crear usuario, crear un usuario normal zhangsan
Haga clic en Enviar, el usuario se creó correctamente y se enviará un correo electrónico al buzón que se acaba de especificar, que es un enlace para restablecer la contraseña.
Si olvida la contraseña de inicio de sesión del usuario del sistema, puede restablecerla mediante el método anterior
Agregar máquina
Gestión de activos → Lista de activos, el lado izquierdo es el árbol de activos, haga clic con el botón derecho para crear, eliminar y cambiar los nodos del árbol. Los activos autorizados también están organizados por nodos, y el lado derecho son los activos que pertenecen al nodo.
Haga clic en Crear activo, asocie el usuario de administración recién creado linuxprobe, nombre de host, IP de host, plataforma del sistema, nodo
Debido a que el usuario administrativo linuxprobe está asociado, este usuario también debe existir en jinkai02. Hemos creado este usuario antes, y necesitamos darle permiso sudo a este usuario.
visudo
linuxprobe TODOS = (TODOS) NOPASSWD: TODOS
Además de esta creación, también podemos importar activos en lotes de acuerdo con la plantilla en lugar de crearlos uno por uno.
Agregar usuarios del sistema y autorizar
Después de agregar la máquina, debe agregar un usuario del sistema. El usuario del sistema es el usuario que utiliza Jumpserver para iniciar sesión en activos, que puede entenderse como un usuario de activos de inicio de sesión.
Gestión de activos → Usuario del sistema → Crear usuario del sistema
La inserción automática generará automáticamente el usuario en el activo. Después de la creación, haga clic en zhangsan para ingresar los detalles del usuario del sistema. También puede enviar manualmente y probar la conectividad aquí.
Agregar reglas de autorización
Gestión de permisos → autorización de activos, seleccione el nodo de Linux, haga clic en crear regla de permisos
Haga clic en Enviar, y aquí equivale a completar los pasos de configuración.
El siguiente paso es probar si el usuario del sistema puede iniciar sesión directamente en jinkai02, primero cambie a la interfaz de usuario
Haga clic en la terminal web y se abrirá una nueva página.
Se agotó el tiempo de espera de la conexión y no se puede acceder a la red, pero la detección manual funciona