堡垒机之jumpserver

[TOC]

一、jumpserver介绍

官网：www.jumpserver.org

jumpserver为国人开发的开源软件，是一款使用Python，Django开发的开源跳板机系统，助力互联网企业高效管理用户，资产，权限，审计管理，自动化

具有以下特点：

完全开源，GPL授权 
Python编写，容易再次开发 
实现了跳板机基本功能，认证、授权、审计 
集成了Ansible，批量命令等 
支持WebTerminal 
Bootstrap编写，界面美观 
自动收集硬件信息 
录像回放 
命令搜索 
实时监控 
批量上传下载

最新版为v0.4.0，基于Python3.6，Django 1.11，目前还未开发完成，所以我们接下来将要安装v0.3.2

二、jumpserver安装

2.1、v0.3.2版本安装

官方文档：https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%9F%BA%E4%BA%8E-RedHat-%E7%9A%84%E7%B3%BB%E7%BB%9F

（1）安装git

yum install -y git

（2）克隆安装文件

#需要一个比较大的分区
cd  /opt/
#克隆git
git clone https://github.com/jumpserver/jumpserver.git

• 克隆时出现以下错误

  

  解决办法：git config –global credential.helper store

（3）配置数据库

如果之前我们没有安装mysql，那么这一步可省略，安装程序会自动帮我们安装

#创建数据库
> create database jumpserver
#授权用户
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1'  identified by 'jump123456'
>

（4）安装jumpserver

cd  /opt/jumpserver/install
#切换分支
git checkout master
#安装
pip install --upgrade pip
python  install.py

安装过程中，需要我们输入mysql和smtp的一些信息

• 配置文件为：../jumpserver.conf

安装过程遇到一个错误

django.db.utils.OperationalError: (1366, "Incorrect string value: '\\xE6\\x9C\\xBA\\xE6\\x88\\xBF' for column 'name' at row 1")

解决办法为修改mysql字符集：http://blog.csdn.net/tianfs/article/details/51775051

还需要我们设置一下jumpserver管理员账户

• 设置管理员账户后会自动启动，如果无法启动需要手动执行../service.sh

2.2、v0.4.0安装

需要docker的支持，而且还未开发完成，以下步骤仅做为参考

yum install -y docker //首先安装docker
 systemctl enable docker
 systemctl start docker //启动docker服务
 curl -L https://github.com/docker/compose/releases/download/1.17.0-rc1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose  //安装docker-compose
 chmod 755 /usr/local/bin/docker-compose
 git clone https://github.com/jumpserver/jumpserver.git //下载jumpserver源码
 cd jumpserver
 配置docker加速器 http://ask.apelearn.com/question/15126
 检查是否有监听8080端口的服务，如果有关闭
 screen//进入到一个虚拟终端
 docker-compose up //使用docker-compose安装jumpserver

三、登录jumpserver

3.1、修改登录用户密码

在浏览器中输入ip:8000，输入管理员密码即可登录

管理员密码我们是使用默认的，如果想修改的话可以这样操作

3.2、jumpserver功能

用户管理：用于管理登录web界面的用户

资产管理：管理服务器，可以按组区分

授权管理：客户机授权

日志审计：查看登录历史，查看命令，查看上传下载文件，查看命令回放

上传下载：上传下载文件

设置：这个可以配置管理用户，自动化批量操作的用户。需要在每个客户机创建

四、jumpserver用户管理

4.1、创建管理用户

jumpserver中的用户介绍

• jumpserver用户用来登录jumpserver（web界面、ssh登录）
• 管理用户用来自动创建客户机上的系统用户、批量执行命令等操作
• 客户机上的系统用户，用来通过jumpserver去登录每一台客户机的用户

服务机：192.168.205.110

客户机：192.168.205.109，192.168.205.108

管理用户：jump

（1）上传服务机的jump私钥到设置中

#在192.168.205.110上执行，生成密钥对，将私钥内容写到设置中，将公钥分发给客户机
ssh-keygen  -f  jump

（2）在客户机上创建jump用户

#在192.168.205.109/108上执行
useradd  jump
passwd  jump

#在192.168.205.110上执行，分发公钥给192.168.205.109
ssh-copy-id -i ./jump.pub  jump@192.168.205.109
#使用以下命令登录192.168.205.109，需要指定私钥名称
ssh -i jump 'jump@192.168.205.109'

（3）配置jump拥有sudo权限

经过以上配置，自动化管理用户创建配置成功

4.2、创建jumpserver普通用户

用于登录web界面，经过授权管理还可以使用ssh登录服务器，所以在服务机系统中也会创建一个相同的用户

（1）创建用户组

用户组名为运维

（2）创建用户

用户名为allen1

（3）修改登录web密码

• 然后，直接输入密码即可

（4）重新获取密钥

由于邮箱设置错误或者是我们忘记保存密钥了，我们可以重新生成密钥

第一步，登录普通用户，将之前的密钥下载下来

• 这个密钥是我们不需要的，下载下来后，状态会变成nokey

第二步，修改用户信息，点击重新生成即可，记下密钥密码

• 然后重新下载并导入即可

4.3、添加客户机

（1）添加资产组

资产组名为web

（2）添加资产

（3）自动更新资产信息

• 该步骤也可以认证我们之前配置的管理用户是否正确

4.4、添加系统用户并授权

此时我们在web上还是无法直接管理机器，需要授权一个系统用户

（1）生成密钥对

在服务机192.168.205.110上操作

ssh-keygen  -f  allen110
cat allen110

（2）授权系统用户

（3）推送用户

• 推送后，在资产中会自动创建系统用户allen110，并且会同时复制服务机生成的公钥到authorized_keys。

4.5、授权规则

我们还需要给系统用户授权规则，授权规则主要是为映射，为了让jumpserver的登录用户去关联对应资产的系统用户

4.6、客户端登录jumpserver

（1）导入用户公钥文件

• 这里的密码为创建jumpserver用户后，邮件收到的密钥密码

（2）登录ssh

可以使用xshell登录，登录界面如下：

• 如果界面为正常shell，可能的原因是我们在授权用户时，服务机中已经存在该用户。所以我们需要登录到服务器上修改授权用户的shell为/opt/jumpserver/init.sh（该文件根据你jumpserver安装的位置）

（3）简单操作

p：显示有权限的主机，就是我们授权规则中添加的资产主机

登录主机：可以输入p中显示的ID，主机名等信息进行登录

• 登录的话也是登录到我们授权的用户

h：输出帮助

e：远程登录执行命令