大家好崩瓤！我是螃蟹和駱駝先生，今天我教大家的是Jumpserver 1.4.4堡壘機(jī)的使用著摔。我也歡迎大家和我討論：
qq:179061434
簡介：
Jumpserver 是全球首款完全開源的堡壘機(jī),使用 GNU GPL v2.0 開源協(xié)議,是符合 4A 的專業(yè)運(yùn)維審計(jì)系統(tǒng)衅码。
Jumpserver對服務(wù)器要求：
CPU: 64位雙核處理器
內(nèi)存: 4G DDR3
數(shù)據(jù)庫：mysql 版本大于等于 5.6 mariadb 版本大于等于 5.5.6
pythone：3.6版本
升級(jí)之后增加了太多功能本身內(nèi)存增大，老版本是2G就可以跑起來浪腐，現(xiàn)在要求3G-4G內(nèi)存才可以跑起來纵揍。
官方文檔：http://docs.jumpserver.org/zh/docs/

1.docker安裝命令：
# 1.4.5 版本(最新)
$ docker run --name jms_all -d -p 8030:80 -p 8020:2222 jumpserver/jms_all:latest
8030的意思是Jumpserver 管理的客戶端  8020代表的是你堡壘機(jī)的端口號(hào)，當(dāng)然你可以設(shè)置成其他的
訪問:  http://127.0.0.1:8030/users/login/?next=/
默認(rèn)帳號(hào)： Admin  密碼：admin

如圖：

Jumpserver 登錄頁面

2.設(shè)置修改帳號(hào)密碼如圖：

個(gè)人信息

更改密碼

修改 url 的"localhost"為你的實(shí)際 url 地址,否則郵件收到的地址將為"localhost" 也無法創(chuàng)建新用戶

修改實(shí)際url地址

郵件設(shè)置

其他LDAP設(shè)置牛欢，終端設(shè)置，安全設(shè)置淆游，用默認(rèn)就好傍睹，其實(shí)Jumpserver 1.4.4最新版已經(jīng)配置好了，唯一瑕疵就是我下面一張截圖犹菱，給的名字都是默認(rèn)的拾稳。

我自己配置了兩個(gè)名字

4.用戶管理：
用白話文解釋一下：
用戶管理為何有用戶和用戶組，用戶單純是Jumpserver的登錄用戶腊脱，組是代表部門的意思访得，一個(gè)部門有不同人員和資產(chǎn)，所以一個(gè)組下面有很多人員和主機(jī)陕凹，主機(jī)直接授權(quán)給組悍抑，相當(dāng)于組下面人員都有該主機(jī)權(quán)限，方便管理如圖：

創(chuàng)建組

創(chuàng)建用戶杜耙，這里用戶密碼會(huì)發(fā)送到你寫郵件中搜骡，自己驗(yàn)證一下就可以知道密碼了

郵件驗(yàn)證新創(chuàng)建用戶密碼

配置好的用戶效果

5.既然Jumpserver是堡壘機(jī)我們肯定要添加主機(jī)，這里就是資產(chǎn)管理如圖：

資產(chǎn)管理

創(chuàng)建各個(gè)部門

為何這里有個(gè)樹形結(jié)構(gòu)呢佑女，因?yàn)槊總€(gè)部門需要不同主機(jī)資產(chǎn)记靡，所以這里節(jié)點(diǎn)就是部門的意思，將不同主機(jī)分配到不同的部門团驱，比如運(yùn)維部需要所有主機(jī)資產(chǎn)的摸吠，后臺(tái)只要后臺(tái)主機(jī)資產(chǎn)，前臺(tái)只要前臺(tái)主機(jī)資產(chǎn)嚎花。
創(chuàng)建資產(chǎn)就是創(chuàng)建主機(jī)的意思寸痢。
在創(chuàng)建主機(jī)之前我們首先要先設(shè)置主機(jī)帳號(hào)密碼

6.創(chuàng)建管理用戶
# "管理用戶"是資產(chǎn)上的 root,或擁有 NOPASSWD: ALL sudo 權(quán)限的用戶,Jumpserver 使用該用
戶來推送系統(tǒng)用戶、獲取資產(chǎn)硬件信息等
# 如果使用ssh私鑰管理資產(chǎn),需要先在資產(chǎn)上設(shè)置,這里舉個(gè)例子供參考(本例登錄資產(chǎn)使用root為例)
(1). 在資產(chǎn)上生成 root 賬戶的公鑰和私鑰
  $ ssh-keygen -t rsa  # 默認(rèn)會(huì)輸入公鑰和私鑰文件到 ~/.ssh 目錄
(2). 將公鑰輸出到文件 authorized_keys 文件,并修改權(quán)限
  $ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
  $ chmod 400 ~/.ssh/authorized_keys
(3). 打開RSA驗(yàn)證相關(guān)設(shè)置
  $ vi /etc/ssh/sshd_config
  RSAAuthentication yes
  PubkeyAuthentication yes
  AuthorizedKeysFile     .ssh/authorized_keys
(4). 重啟 ssh 服務(wù)
  $ service sshd restart
(5). 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中
# 這樣就可以使用 ssh私鑰 進(jìn)行管理服務(wù)器

先解釋一下管理用戶代表的意思就是服務(wù)器帳號(hào)紊选，而系統(tǒng)用戶就是管理用戶分配一個(gè)權(quán)限給Jumpserver 去創(chuàng)建一個(gè)系統(tǒng)用戶轿腺，就是把root把一部分權(quán)限分給子用戶两嘴，子用戶擁有權(quán)限很低，服務(wù)器越安全族壳。
這里管理用戶創(chuàng)建你可以用賬戶密碼或者公鑰憔辫，因?yàn)橹芭渲眠^公鑰，所以都可以用

管理用戶

創(chuàng)建管理用戶

創(chuàng)建系統(tǒng)用戶

# "系統(tǒng)用戶"是 Jumpserver 跳轉(zhuǎn)登錄資產(chǎn)時(shí)使用的用戶,用戶使用該用戶登錄資產(chǎn)
# "自動(dòng)生成密碼"仿荆、"自動(dòng)推送"贰您、"Sudo"等功能需要對應(yīng)資產(chǎn)的"管理用戶"有root權(quán)限,否則自動(dòng)推送失敗
# "系統(tǒng)用戶"的"Sudo"欄設(shè)定用戶的sudo權(quán)限
# 這里簡單舉幾個(gè)例子
Sudo /bin/su  # 當(dāng)前系統(tǒng)用戶可以免sudo密碼執(zhí)行sudo su命令
Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 當(dāng)前系統(tǒng)用戶可以免sudo密碼執(zhí)行g(shù)it php cat more less tail
Sudo !/usr/bin/yum  # 禁止執(zhí)行 yum 權(quán)限
# 此處的權(quán)限應(yīng)該根據(jù)使用用戶的需求匯總后定制,原則上給予最小權(quán)限即可
# 下圖為不允許用戶執(zhí)行一些危險(xiǎn)的操作,允許其他的所有權(quán)限

給予這個(gè)系統(tǒng)用戶最高權(quán)限，可以升級(jí)為root用戶

成功圖

6.創(chuàng)建資產(chǎn)：
為何創(chuàng)建資產(chǎn)放到這里講拢操，1.你要有Jumpserver 賬戶锦亦，2.你要有主機(jī)賬戶，也就是服務(wù)器賬戶令境，默認(rèn)系統(tǒng)用戶權(quán)限比較小.上面我為大家分析的很詳細(xì)杠园，該有的都有了可以創(chuàng)建主機(jī)了，也就是資產(chǎn)列表

資產(chǎn)列表

創(chuàng)建資產(chǎn)

點(diǎn)擊直連子系統(tǒng)4舔庶，測試是否連接成功

測試和刷新成功了抛蚁，就會(huì)有對應(yīng)服務(wù)器數(shù)據(jù)顯示

測試結(jié)果

測試結(jié)果

現(xiàn)在服務(wù)器都已經(jīng)在對應(yīng)的部門，但是我們Jumpserver用戶和用戶組惕橙，還沒有授權(quán)有這些部門權(quán)限瞧甩，來調(diào)動(dòng)這些服務(wù)器，所以現(xiàn)在來授權(quán)弥鹦，管理這些服務(wù)器肚逸。
如下圖服務(wù)器權(quán)限：
前臺(tái)部：0臺(tái)服務(wù)器
運(yùn)維部：2臺(tái)服務(wù)器
后臺(tái)部：1臺(tái)服務(wù)器

創(chuàng)建授權(quán)規(guī)則

服務(wù)器授權(quán)，直接授權(quán)給用戶組方便不用給用戶一個(gè)一個(gè)授權(quán)累

授權(quán)成功

現(xiàn)在我們要測試彬坏，登錄方濤賬戶看正式員工后臺(tái)部朦促，是否有一臺(tái)服務(wù)器權(quán)限：
先登錄方濤用戶：

真有的一臺(tái)服務(wù)器信息

點(diǎn)擊web終端

點(diǎn)擊服務(wù)器直連子系統(tǒng)4：

直連子系統(tǒng)4

成功了栓始，嘿嘿后面還有更強(qiáng)大功能

會(huì)話管理

回放功能

可以切換用戶查看執(zhí)行命令

這是我們連接主機(jī)成功記錄

8.日志審計(jì)
字面理解感覺沒必要解釋

登錄日志

這是直接在你已經(jīng)進(jìn)入的服務(wù)器輸入登錄堡壘機(jī)

端口就是之前docker啟動(dòng)映射2222端口

方濤這個(gè)用戶只有一個(gè)主機(jī)的信息

成功了，就一臺(tái)服務(wù)器领跛，其他服務(wù)器他沒有對應(yīng)授權(quán)

總結(jié)：
Jumpserver 1.4.4版本把老版本一些需要直接去文件查看密碼這些操作都寫進(jìn)可視化界面里面乏德，用法也比較簡單，主要需要理解里面對應(yīng)各項(xiàng)數(shù)據(jù)所代表的含義，Jumpserver 也是從前天接觸的喊括，我遇到時(shí)候有很多不理解胧瓜，看官方文檔我還是不理解，就找不到那個(gè)點(diǎn)郑什，我不知道你們懂不懂府喳，就是理解中心點(diǎn)，每個(gè)小功能起到的作用蘑拯，我該怎么靈活運(yùn)用钝满，看很多人寫的都是安裝一下就結(jié)束了，有一些博主寫出來自己都不知道里面一些東西就寫給你看申窘，感覺誤人子弟弯蚜。我這篇文章是原創(chuàng)。也是耗費(fèi)這1天整理出來的剃法，希望能對你起到一點(diǎn)幫助
qq討論的話：
179061434