鑒于現(xiàn)有的服務(wù)機器逐漸增多,開發(fā)人員要查看日志時拳魁,每個都要配置一次,而且記錄不統(tǒng)一等各種原因撮弧,促使我要統(tǒng)一各個開發(fā)人員的潘懊。在此安裝過程中遇到到很多坑人死的地方,特此記錄下來遇到的問題與解決方案贿衍。
環(huán)境:
內(nèi)網(wǎng)隔離環(huán)境(該環(huán)境不可連接外網(wǎng)授舟,只允許遠程連接進入)(屬于自建服務(wù)器)
jumpserver服務(wù)器:10.10.10.8? ? (有root管理員用戶、jump普通用戶)(root已屏蔽從外網(wǎng)登錄贸辈,只可通過普通用戶連接)
開發(fā)人員使用虛擬機:10.10.10.120? ? (此為開發(fā)人員使用的Windows 7 虛擬機)
外網(wǎng)生產(chǎn)環(huán)境云服務(wù)器:11.11.11.1*? ? (有root管理員用戶释树、dev普通用戶、loger普通用戶)(root已屏蔽從外網(wǎng)登錄,只可通過普通用戶連接奢啥;dev為程序所用來運行的用戶--屬于運維人員管理秸仙,loger為配置給開發(fā)人員查看日志的用戶)
使用流程:
開發(fā)人員查看服務(wù)器日志:要通過10.10.10.120的xlshell、secureCRT等軟件連接到j(luò)umpserver服務(wù)器10.10.10.8的2222端口后桩盲,由jumpserver列出可授權(quán)使用的服務(wù)器
需求:
需要統(tǒng)一授權(quán)所有開發(fā)人員連接生產(chǎn)環(huán)境的方式寂纪,記錄所有開發(fā)人員的操作記錄,安裝jumpserver后不給web登錄赌结,都通過xlshell捞蛋、secureCRT來連接ssh授權(quán)的環(huán)境。對于某些只開放給開發(fā)人員查看日志的用戶柬姚,就要把這些用戶所有普通權(quán)限都禁止掉(如cd /,ls /等)拟杉,因為這些用戶的功能就只有一個,查看實時日志量承,根據(jù)不需要其它操作搬设,所以把其它沒有的命令全部禁止點
吐槽點:
因為生產(chǎn)服務(wù)器另做了禁止root遠程登錄,禁止任何普通用戶進行sudo操作宴合,所有對于jumpserver中的sudo與推送焕梅,一點都用不上。并且文檔中對于如何通過xlshell卦洽、secureCRT連接說的也不清晰,浪費了好幾天才發(fā)現(xiàn)這些問題斜棚。
一阀蒂、jumpserver安裝步驟
安裝步驟參考下面官網(wǎng)文檔
https://docs.jumpserver.org/zh/docs/setup_by_localcloud.html
二、安裝后說明
1弟蚀、安裝完成后蚤霞,登陸進jumpserver
登錄jumpserver后,有幾個東西要特別說明的义钉,像我這種這么笨的人看這幾個都錯了好幾回沒弄明白什么意思昧绣。
用戶管理--用戶列表,中的用戶:指的是登錄jumpserver的用戶捶闸,此用戶將在后面用到xlshell夜畴、secureCRT等軟件中
資產(chǎn)管理--管理用戶,中的用戶:指的是要連生產(chǎn)環(huán)境中用戶root或者是具備sudo的用戶(非jumpserver機器上的)删壮,有時候在網(wǎng)上看的東西太專業(yè)有點繞舌(如通過局域網(wǎng)secureCRT直接連接你的服務(wù)器贪绘,這里的管理用戶就是你服務(wù)器上的具備root權(quán)限的用戶)
資產(chǎn)管理--系統(tǒng)用戶,中的用戶:指的是要連生產(chǎn)環(huán)境中普通用戶(非jumpserver機器上的)央碟,如通過局域網(wǎng)secureCRT直接連接你的服務(wù)器税灌,這里的系統(tǒng)用戶就是你服務(wù)器上的普通用戶
2、創(chuàng)建用戶
按上圖在用戶管理--用戶列表,中點擊創(chuàng)建用戶菱涤。
因我的環(huán)境是隔離網(wǎng)苞也,不允許郵件通過,且機器與人員也不是很多粘秆,都是小企業(yè)的標配如迟,所以認證設(shè)置為手動更改密碼,角色按需選擇翻擒,填寫完成提交即可氓涣。
3、創(chuàng)建管理用戶
按上圖在資產(chǎn)管理--管理用戶陋气,中點擊創(chuàng)建管理用戶劳吠。
管理用戶就是生產(chǎn)環(huán)境中的普通用戶(可具備管理權(quán)限),給運維人員或是運行程序的用戶巩趁,即外網(wǎng)生產(chǎn)環(huán)境云服務(wù)器 11.11.11.1* 中的管理員用戶痒玩。
因為我的云服務(wù)器不需要給任何用戶sudo權(quán)限,不需要推送议慰,所以給的是一個普通用戶蠢古,不給管理員用戶。
4别凹、創(chuàng)建系統(tǒng)用戶
系統(tǒng)用戶就是生產(chǎn)環(huán)境中的普通用戶草讶,給開發(fā)人員查看日志用的用戶
5、建立資產(chǎn)
按上圖所示在資產(chǎn)管理--資產(chǎn)列表炉菲,中點擊“創(chuàng)建資產(chǎn)”堕战,也可先創(chuàng)建各個分類,再在各分類下建立資產(chǎn)拍霜。
如上圖創(chuàng)建資產(chǎn)嘱丢,就可以分配授權(quán)了
注意:因之前不懂授權(quán),就每個資產(chǎn)都設(shè)置了一個授權(quán)祠饺,設(shè)置了幾十個后越驻,感覺很不對勁,發(fā)現(xiàn)自己想當(dāng)然的做的太麻煩了道偷。就直接改掉不按資產(chǎn)來授權(quán)缀旁,要按用戶名來授權(quán),哪個用戶用到哪些資產(chǎn)的试疙,直接授權(quán)到此用戶即可诵棵。而不是原來的每個資產(chǎn)中都去配置授權(quán)給指定的用戶。
6祝旷、創(chuàng)建授權(quán)
如上圖所示:創(chuàng)建資產(chǎn)時履澳,盡量選擇最小權(quán)限規(guī)則嘶窄,指定授權(quán)的用戶(不選擇用戶組),指定授權(quán)的資產(chǎn)(不選擇節(jié)點)距贷,指定系統(tǒng)用戶柄冲;如不需要SFTP等上傳下載的話,動作只勾選“連接”即可忠蝗。
現(xiàn)在就可以打開另一個瀏覽器现横,通過zhouxiao這個用戶來登錄jumpserver
如上圖所示,要連接資產(chǎn)阁最,點擊所在資產(chǎn)--動作戒祠,一欄下的綠色按鈕后,即可跳轉(zhuǎn)到luna連接窗口速种,luna會幫你直接連接上所選的云服務(wù)器
以上就成功給開發(fā)人員用戶zhouxiao建立了一個通道通過服務(wù)器loger普通用戶連接進服務(wù)器姜盈,但是此用戶還有很多命令可以使用,本著最小權(quán)限原則配阵,而且該用戶根本不需要其它規(guī)則馏颂,只要查看日志的權(quán)限即可。
so
重點來了
第一個重點:
如何限定loger用戶的權(quán)限:
1.只允許loger使用ls棋傍、ll救拉、sh命令,其它命令全部禁用
2.不允許loger跳出家目錄瘫拣,只能在家目錄執(zhí)行
3.在loger目錄建立好實時查看日志的腳本文件(如查看/var/log/nginx/access.log的日志亿絮,建立一個showlog-nginx.sh的腳本文件,腳本中的內(nèi)容只有 tail -f /var/log/nginx/access.log 這一句英文命令即可麸拄,當(dāng)用戶連接上來后壶谒,只執(zhí)行 sh showlog-nginx.sh 或者 ./showlog-nginx.sh 即可打開查看實時日志)
7芯急、建立命令規(guī)則
關(guān)于命令規(guī)則,直接上百度搜索“l(fā)inux常用命令”即可搜索出一大堆雹有,根據(jù)需要過濾地淀,把要屏蔽的命令都加入到過濾規(guī)則中失球,并且要綁定指定的用戶才能生效,不綁定用戶是不生效的帮毁,當(dāng)初就在這里摸了半天魚实苞。
每行一個過濾命令,要注意的是烈疚,如要屏蔽ls黔牵、ll查看命令(但只想屏蔽查看家目錄之外的路徑,在家目錄中可以正常執(zhí)行的話)爷肝,哪些你的過濾命令就得設(shè)置為
ll /
ls /
這種形式來過慮屏蔽防止跳出家目錄去猾浦,但在家目錄是可以正常執(zhí)行l(wèi)s ll的陆错。
建立以上過濾后,再通過zhouxiao用戶登錄服務(wù)器loger用戶時就會提示命令被禁止金赦,如下圖
到此音瓷,就達到了我想要的最小權(quán)限,本來是想在linux上做這種限制的夹抗,發(fā)現(xiàn)在linux上很難實現(xiàn)绳慎,不如jumpserver這樣直接過濾掉。
第二個重點:
通過xlshell漠烧、secureCRT連接jumpserver再到云服務(wù)器杏愤,當(dāng)初一直沒想明白xlshell等軟件是怎么連接到跳板機jumpserver后,再連接到云服務(wù)器的已脓,百度了一些結(jié)果大多數(shù)都是通過密鑰來操作珊楼、隧道呀,我都懵圈了摆舟,一我是手動設(shè)置的密碼亥曹,沒有密鑰這東西。
通過jumpserver的用戶zhouxiao來連接11.11.11.11:22云服務(wù)器不成功恨诱;通過jumpserver的用戶zhouxiao來連接jump服務(wù)器10.10.10.8也沒成功媳瞪。
在此中摸了兩天,也不知道是什么原因沒有出現(xiàn)如網(wǎng)上所示的圖(### 歡迎使用jumpserver開源跳板機系統(tǒng))照宝,在此摸索中蛇受,知道是要通過jumpserver中的用戶如zhouxiao來作為用戶名登錄的,但一直不知道是哪里出錯厕鹃。
直到看到一篇文章中有提示要把jumpserver當(dāng)做跳板機來用的話兢仰,需要連接koko的接口2222,我娘的才反應(yīng)過來剂碴。在xlshell把将、secureCRT中是通過jumpserver中的用戶如zhouxiao與密碼直接連接jumpserver服務(wù)器10.10.10.8的2222端口,才能正常連接到跳板機的忆矛。
在此過程中察蹲,在網(wǎng)上搜索不到任何關(guān)于提示新手是怎么連接到跳板機的,都是一筆帶過催训,用密鑰連接22端口之類的洽议,根本沒有提示過新手要通過xlshell、secureCRT來ssh到j(luò)umpserver服務(wù)器10.10.10.8的2222端口漫拭。搞的我摸了幾天也沒明白個鳥亚兄。
注意點:
10.10.10.8:22? ? ?此SSH端口 22 是 jumpserver服務(wù)器(linux服務(wù)器)中的登錄用戶端口,而不是建立jumpserver后通過瀏覽器創(chuàng)建的用戶要連接使用的端口
10.10.10.8:2222? ? ?此SSH端口 2222 是?jumpserver服務(wù)器(linux服務(wù)器)中的服務(wù)端口采驻,是讓建立jumpserver后通過瀏覽器創(chuàng)建的用戶連接使用的审胚,通過此2222端口連接進來到跳板機系統(tǒng)
xlshell匈勋、secureCRT連接方式如下圖
如上圖,連接jumpserver服務(wù)器10.10.10.8菲盾,端口要注意連接的是2222端口而不是22端口(這兩個端口都存在的颓影,都要在防火墻中開放)
輸入jumpserver中創(chuàng)建的用戶密碼連接后,終于出現(xiàn)如上圖所示的跳板機系統(tǒng)的懒鉴,摸了幾天诡挂,終于摸成功了。临谱。璃俗。
輸入對應(yīng)序號即可進入對應(yīng)的功能中
按p進入資產(chǎn)列表中,查看到已授權(quán)的主機悉默,需要連接的話城豁,直接選擇對應(yīng)序號確定即可連接到相應(yīng)的生產(chǎn)環(huán)境云服務(wù)器上了。
未解決問題:
因為沒有開發(fā)能力抄课,不知道如何修改停止jumpserver探測SSH的狀態(tài)唱星。因為服務(wù)器有探測登錄告警,只要有人連接SSH與SCP的話跟磨,都會發(fā)出釘釘告警信息间聊,加了jumpserver資產(chǎn)信息后,總會時不時的探測一下服務(wù)器的狀態(tài)抵拘,每次探測都會發(fā)起5哎榴、6個連接登錄,所以每天每次都會收到同一服務(wù)器十幾條告警信息僵蛛,這個好不爽的尚蝌,我只想它手動點沒測試的時候才發(fā)起檢測,其它時候不要發(fā)起任何操作充尉。也弄不懂在哪個文件上改掉這個飘言。看了一下日志里面有一個任務(wù)是《定期測試管理賬號可連接性》的記錄跟這個告警是很吻合的驼侠,還沒找到怎么屏蔽热凹。
