項目實戰15.2—企業級堡壘機 jumpserver快速入門

本文收錄在Linux運維企業架構實戰系列

必備條件

• 硬體條件

• 服務條件

（1）coco服務

① 鑒於心態檢測存在延遲，也可以直接在 Jumpserver 主機上執行如下命令檢測 Coco 是否存活，Coco 服務預設使用 2222 埠:

[root@centos7-1 ~]# ss -nutlp |grep 2222

效果如下：

② 如 coco 不線上或者服務不正常，可以嘗試重啟 coco

$ cd /opt/coco

$ ./cocod restart   # 請確保 jumpserver 已經正常運行。

（2）guacamole 服務

如果 guacamole 不線上或者服務不正常，可以嘗試重啟docker 容器

① $ docker ps   # 查詢正在運行的容器，記錄下容器的 <CONTAINER ID> ，可以附加 -a 參數查詢所有容器

② $ docker restart 6b15fcf0e5f3   # 6b15fcf0e5f3 是通過docker ps查詢到的，請不要直接複製。

# docker 用法： docker start|stop|restart|rm|rmi <CONTAINER ID>

一、系統設置

1.1 基本設置

可以設置用戶嚮導url，如果不設置，jumpserver產生的鏈接都預設為www.localhost.com

1.2 配置郵件發送伺服器

點擊頁面上邊的"郵件設置" ，進入郵件設置頁面：

註：

① 配置 QQ 郵箱的 SMTP 服務可參考（http://blog.csdn.net/Aaron133/article/details/78363844），僅使用只需要看完第二部分即可。

② SMTP 密碼是你打開qq郵箱SMTP 時騰訊給你發送的密碼。

③ 配置郵件服務後，點擊頁面的"測試連接"按鈕，如果配置正確，Jumpserver 會發送一條測試郵件到您的 SMTP 賬號郵箱裡面：

二、創建用戶

2.1 創建 Jumpserver 用戶

① 點擊頁面左側"用戶列表"菜單下的"用戶列表"，進入用戶列表頁面。

② 點擊頁面左上角"創建用戶"按鈕，進入創建用戶頁面，填寫賬戶，角色安全，個人等信息。

其中，用戶名即 Jumpserver 登錄賬號。用戶組是用於資產授權，當某個資產對一個用戶組授權後，這個用戶組下麵的所有用戶就都可以使用這個資產了。角色用於區分一個用戶是管理員還是普通用戶。

③ 成功提交用戶信息後，Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱。

④ 點擊郵件中的設置密碼鏈接，設置好密碼後，您就可以用戶名和密碼登錄 Jumpserver 了。

2.2 登錄 Jumpserver 用戶

（1）web 頁面登錄

① 用戶首次登錄 Jumpserver，會被要求完善用戶信息。

② 生成ssh 公鑰

Linux/Unix 生成 SSH 密鑰可以參考（https://www.cnblogs.com/horanly/p/6604104.html)

Windows 生成 SSH 密鑰可以參考（https://www.cnblogs.com/horanly/p/6604104.html)

查看公鑰信息

[root@centos7-1 ~]# cat .ssh/id_rsa.pub$ cat ~/.ssh/id_rsa.pub

③ 複製 SSH 公鑰，添加到 Jumpserver 中。

（2）除了使用瀏覽器登錄 Jumpserver 外，還可使用命令行登錄：

① 確保 Coco 服務正常

 ② 命令行登錄 Jumpserver 使用如下命令：

$ ssh -p 2222 用戶名@Jumpserver IP地址

登錄成功後界面如下:

三、創建資產

3.1 創建 Linux 資產

（1）編輯資產樹

節點不能重名，右擊節點可以添加、刪除和重命名節點，以及進行資產相關的操作。

（2）創建管理用戶

　　管理用戶是伺服器的 root，或擁有 NOPASSWD: ALL sudo 許可權的用戶，Jumpserver 使用該用戶來推送系統用戶、獲取資產硬體信息等。

　　註意：資產管理裡面的所以信息，都是和資產有關，包括創建的所有用戶；jumpserver的root用戶密碼，只給jumpserver管理員登錄安裝了jumpserver的伺服器使用。除此之外不用在任何地方；不用搞混了（我就搞混了）

　　如果使用ssh私鑰，需要先在資產上設置，這裡舉個例子供參考（本例登錄資產使用root為例）

① 在資產上生成 root 賬戶的公鑰和私鑰

[root@centos7-1 ~]# ssh-keygen -t rsa   # 預設會輸入公鑰和私鑰文件到 ~/.ssh 目錄

② 將公鑰輸出到文件 authorized_keys 文件，並修改許可權

[root@centos7-1 ~]# cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

[root@centos7-1 ~]# chmod 400 ~/.ssh/authorized_keys

③ 打開RSA驗證相關設置

[root@centos7-1 ~]# vim /etc/ssh/sshd_config

  RSAAuthentication yes
  PubkeyAuthentication yes
  AuthorizedKeysFile     .ssh/authorized_keys

④ 重啟 ssh 服務

[root@centos7-1 ~]# systemctl restart sshd

⑤ 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中

（3）這樣就可以使用 ssh私鑰 進行管理伺服器。

名稱可以按資產樹來命名。用戶名root。密碼和 SSH 私鑰必填一個。

（4）創建系統用戶

① 系統用戶是 Jumpserver 跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶，如 web, sa, dba(ssh web@some-host), 而不是使用某個用戶的用戶名跳轉登錄伺服器(ssh xiaoming@some-host); 簡單來說是 用戶使用自己的用戶名登錄Jumpserver, Jumpserver使用系統用戶登錄資產。

② 系統用戶的 Sudo 欄填寫允許當前系統用戶免sudo密碼執行的程式路徑，如預設的/sbin/ifconfig，意思是當前系統用戶可以直接執行 ifconfig 命令或 sudo ifconfig 而不需要輸入當前系統用戶的密碼，執行其他的命令任然需要密碼，以此來達到許可權控制的目的。

③ 這裡簡單舉幾個例子：

Sudo /bin/su  # 當前系統用戶可以免sudo密碼執行sudo su命令（也就是可以直接切換到root，生產環境不建議這樣操作）
Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/head,/usr/bin/tail  # 當前系統用戶可以免sudo密碼執行git php cat more less head tail
# 此處的許可權應該根據使用用戶的需求彙總後定製，原則上給予最小許可權即可。

④ 系統用戶創建時，如果選擇了自動推送 Jumpserver 會使用 Ansible 自動推送系統用戶到資產中，如果資產(交換機、Windows )不支持 Ansible, 請手動填寫賬號密碼。

Linux 系統協議項務必選擇 ssh 。如果用戶在系統中已存在，請去掉自動生成密鑰、自動推送勾選。

（5）創建資產

① 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕，查看當前所有的資產列表。

點擊頁面左上角的"創建資產"按鈕，進入資產創建頁面，填寫資產信息。

IP 地址和管理用戶要確保正確，確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。資產的系統平臺也務必正確填寫。公網 IP 信息只用於展示，可不填，Jumpserver 連接資產使用的是 IP 信息。

② 資產創建信息填寫好保存之後，可測試資產是否能正確連接：

③ 測試成功；如果資產不能正常連接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上。

（6）網域列表（如果有需要的話）

網域功能是為瞭解決部分環境無法直接連接而新增的功能，原理是通過網關伺服器進行跳轉登錄。

點擊頁面左側的"網域列表"按鈕，查看所有網域列表。

① 點擊頁面左上角的"創建網域"按鈕，進入網域創建頁面，選擇資產里用作網域的網關伺服器。

② 點擊網域的名稱，進入網域詳情列表。

點擊頁面的"網關"按鈕，選擇網關列表的"創建網關"按鈕，進入網關創建頁面，填寫網關信息。

IP信息一般預設填寫網域資產的IP即可（如用作網域的資產有多塊網卡和IP地址，選能與jumpserer通信的任一IP即可），用戶名與密碼可以在資產上面創建亦可使用jumpserver的推送功能（需要手動輸入密碼），確認該用戶擁有執行ssh命令的許可權。

③ 保存信息後點擊測試連接，確定設置無誤後到資產列表添加需要使用網關登錄的資產即可。

3.1 創建 Windows 資產（很容易出錯，多註意）

（1）創建 Windows 系統管理用戶

同 Linux 系統的管理用戶一樣，名稱可以按資產樹來命名，用戶名是管理員用戶名，密碼是管理員的密碼。

（2）創建 Windows 系統系統用戶

目前 Windows 暫不支持自動推送，用戶必須在系統中存在且有許可權使用遠程連接，請去掉自動生成密鑰、自動推送勾選；請確認 windows 資產的 rdp 防火牆已經開放。

Windows 資產協議務必選擇 rdp。

（3）創建 Windows 資產

同創建 Linux 資產一樣。

創建 Windows 資產，系統平臺請選擇正確的 Windows，埠號為3389，IP 和 管理用戶請正確選擇，確保管理用戶能正確登錄到指定的 IP 主機上。

四、資產節點管理

4.1 為資產樹節點分配資產

在資產列表頁面，選擇要添加資產的節點，右鍵，選擇添加資產到節點。

選擇要被添加的資產，點擊"確認"即可。

4.2 刪除節點資產

選擇要被刪除的節點，選擇"從節點刪除"，點擊"提交"即可。

五、創建授權規則

① 節點，對應的是資產，代表該節點下的所有資產。

② 用戶組，對應的是用戶，代表該用戶組下所有的用戶。

③ 系統用戶，及所選的用戶組下的用戶能通過該系統用戶使用所選節點下的資產。

④ 節點，用戶組，系統用戶是一對一的關係，所以當擁有 Linux、Windows 不同類型資產時，應該分別給 Linux 資產和 Windows 資產創建授權規則。

創建的授權規節點要與資產所在的節點一致。

六、用戶使用資產

6.1 登錄 Jumpserver

創建授權規則的時候，選擇了用戶組，所以這裡需要登錄所選用戶組下麵的用戶才能看見相應的資產。

用戶正確登錄後的頁面：

6.2 使用資產

（1）連接資產

① 點擊頁面左邊的 Web 終端：

② 打開資產所在的節點：

③ 雙擊資產名字，就連上資產了：

如果顯示連接超時，請檢查為資產分配的系統用戶用戶名和密鑰是否正確，是否正確選擇 Windows 操作系統，協議 rdp，埠3389，是否正確選擇 Linux 操作系統，協議 ssh，埠22，以及資產的防火牆策略是否正確配置等信息。接下來，就可以對資產進行操作了。

④ 測試

創建一個test

在伺服器上，確實有test 文件

（2）連接windows 資源

6.2.2 斷開資產

點擊頁面頂部的 Server 按鈕會彈出選個選項，第一個斷開所選的連接，第二個斷開所有連接。

以上就是 Jumpserver 的簡易入門了，在使用過程中，如果遇到什麼問題，可以與我討論。