一妙黍、jumpserver堡壘機概念作用
1.堡壘機與跳板機的區(qū)別
1)什么是堡壘機
在一個特定的網(wǎng)絡(luò)環(huán)境下悴侵,為保障網(wǎng)絡(luò)和數(shù)據(jù)不受外界入侵和破壞,而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一組成部分的系統(tǒng)狀態(tài)拭嫁、安全事件可免、網(wǎng)絡(luò)活動,以便于集中報警做粤、及時處理及審計定責(zé)浇借。
2)堡壘機和跳板機的區(qū)別
簡易的堡壘機稱為跳板機。功能簡單怕品,主要核心功能是遠(yuǎn)程登錄服務(wù)器和日志審計妇垢。
3)優(yōu)秀的開源軟件:jumpserver
支持認(rèn)證、授權(quán)肉康、審計闯估、自動化和資產(chǎn)管理
4)商業(yè)化堡壘機
齊治暇矫、Citrix XenApp
2、堡壘機的作用
1)對用戶權(quán)限進(jìn)行集中管理构资,根據(jù)不同用戶的職責(zé)來判定用戶的權(quán)限罐监,再進(jìn)行集中管理,不用分別登錄到不同的服務(wù)器上進(jìn)再配置流济。如:普通用戶(oldboy)主要負(fù)責(zé)運維(sa)工作,而為了使oldboy用戶高效工作,需根據(jù)公司的實際情況給其分配不同的權(quán)限厢岂,此時就需登陸到多臺不同的服務(wù)器主機進(jìn)行授權(quán),而堡壘機便可以直接在對應(yīng)的服務(wù)器主機上對oldboy進(jìn)行sudo授權(quán)阳距。
2)對用戶操作進(jìn)行記錄審計塔粒,jumpserver可以對所有在其登錄的普通用戶進(jìn)行審計定責(zé),會自動記錄用戶的操作全過程筐摘,包括歷史命令卒茬、文件上傳下載的記錄和錄制,更有效的為企業(yè)提供良好的辦公環(huán)境和個人獎罰分明的有效依據(jù)咖熟。
3)可以實現(xiàn)批量管理功能圃酵,類似于ansible軟件。
4)資產(chǎn)統(tǒng)計記錄功能馍管,jumpserver可以簡單的統(tǒng)計和展示服務(wù)器主機的基本參數(shù)郭赐,如CPU、廠商确沸、操作系統(tǒng)等捌锭。
二俘陷、jumpserver堡壘機部署過程
1.安裝的兩種方式
1)官方網(wǎng)站安裝指南:
官網(wǎng)地址:http://www.jumpserver.org
需要docker容器進(jìn)行安裝
2)簡單安裝
通過python環(huán)境準(zhǔn)備直接進(jìn)行安裝
2.簡單安裝
第一個里程: 環(huán)境準(zhǔn)備
1)關(guān)閉防火墻和selinux
2)安裝jumpserver所需軟件信息
yum -y install epel-release(也可以通過更新阿里云鏡像站會自動生成)
yum -y install git python-pip mysql-devel mariadb-server gcc automake autoconf python-devel vim sshpass lrzsz readline-devel
安裝各環(huán)境作用:
git:主要是對開發(fā)人員編寫的大量代碼進(jìn)行管理,進(jìn)行標(biāo)識和存儲观谦,提供代碼版本控制的服務(wù)拉盾,而針對運維人員主要則是在進(jìn)行代碼上線時進(jìn)行代碼獲取的操作。
python-pip:主要是對python環(huán)境下軟件的下載及安裝豁状,類似于與yum安裝的操作盾剩,但是pip只針對python開發(fā)出的軟件服務(wù),yum則主要針對的是centos系統(tǒng)中Base源替蔬。
MySQL-devel:該軟件為數(shù)據(jù)庫的依賴包告私,但由于centos7中安裝MySQL的依賴包時會自動安裝mariadb的依賴包,所以需在服務(wù)器上直接安裝mariadb-server承桥。
gcc:為C語言的解釋器驻粟。
automake/autoconf:此兩項服務(wù)均為C語言程序的編譯及配置軟件。
python-devel:python編程軟件的依賴包凶异,jumpserver既是依據(jù)python語言開發(fā)出的開源軟件蜀撑。
vim/sshpass/lrzsz:分別為文件編輯工具/遠(yuǎn)程連接服務(wù)時可以使用明文密碼進(jìn)行連接的命令/上傳大型文件的軟件包
readline-devel:進(jìn)入python界面后的補全功能解釋器
第二個里程: 下載jumpserver堡壘機
cd /opt
在下載jumpserver后,會默認(rèn)在此目錄尋找相關(guān)腳本及參數(shù)
git clone https://git.coding.net/jumpserver/jumpserver.git
通過git克隆從相關(guān)網(wǎng)站將文件或安裝包直接克隆到服務(wù)器主機上剩彬,https://git.coding.net/jumpserver/jumpserver.git為國內(nèi)git存儲代碼的服務(wù)器網(wǎng)址
第三個里程: 進(jìn)入jumpsever目錄中install目錄中啟動堡壘機
1)更新pip源 (更改為aliyun)
mkdir ~/.pip/
vim ~/.pip/pip.conf
[global]
index-url = https://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host=mirrors.aliyun.com
2)需要安裝python依賴軟件
pip install -r requirements.txt
3)進(jìn)行軟件初始化過程:
開啟數(shù)據(jù)庫服務(wù):systemctl start mariadb.service
啟動python初始化腳本:python /jumpserver/install/install.py
確認(rèn)堡壘機服務(wù)器主機地址
建議直接在本地新建數(shù)據(jù)庫服務(wù)酷麦,從而省去手動配置的麻煩,再將本地數(shù)據(jù)庫遷移至數(shù)據(jù)庫服務(wù)器上即可
輸入郵箱發(fā)送地址喉恋,如163即smtp.163.com沃饶;端口號默認(rèn);賬戶為自己接收郵件的郵箱轻黑;密碼為授權(quán)碼糊肤,當(dāng)郵件確認(rèn)收到后方可進(jìn)行下一步,如沒收到郵件則證明初始化失敗
繼續(xù)安裝即可氓鄙,當(dāng)安裝出現(xiàn)以下報錯時馆揉,按方法信息解決,原因為安裝的python環(huán)境版本非默認(rèn)版本
設(shè)置超級管理員用戶民及登錄密碼抖拦,看到此頁面代表初始化完成升酣。
4)jumpserver服務(wù)沒有啟動成功:
/opt/jumpserver/service.sh start
/opt/jumpserver/service.sh stop
5)如啟動堡壘機失敗執(zhí)行以下命令
python /opt/jumpserver/manage.py runserver 0.0.0.0:80 &>> /tmp/jumpserver.log 2>&1 &
python /opt/jumpserver/run_websocket.py &> /dev/null 2>&1 &
三、jumpserver軟件配置過程:
在web端輸入IP地址進(jìn)入能錄界面态罪,并用超級管理員用戶進(jìn)行登錄
用戶管理配置: 配置有哪些用戶可以使用堡壘機訪問服務(wù)器
添加普通用戶噩茄,勾選發(fā)送郵件用于接受密碼信息,當(dāng)收到郵件時證明添加成功
資產(chǎn)管理配置: 配置通過堡壘機可以管理哪些服務(wù)器
添加普通用戶管理資產(chǎn)
注意事項:①.管理用戶必須為服務(wù)器主機上存在的真實用戶向臀,此管理用戶為當(dāng)系統(tǒng)用戶出現(xiàn)一些操作失誤或者權(quán)限不足時巢墅,使用此管理賬戶進(jìn)行解決,生產(chǎn)環(huán)境中處于安全考慮,建議創(chuàng)建admin用戶而非root用戶君纫,在虛擬主機再對admin進(jìn)行相關(guān)授權(quán)驯遇。②.設(shè)置多個資產(chǎn)時,若管理用戶均為一個用戶蓄髓,可在設(shè)置中對其進(jìn)行設(shè)定叉庐,在添加資產(chǎn)時點擊默認(rèn)即可
授權(quán)管理配置:
sudo配置: 設(shè)置指定提權(quán)命令信息
給普通用戶登錄到服務(wù)器主機的系統(tǒng)用戶的權(quán)限進(jìn)行管理,根據(jù)不同用戶職責(zé)直接進(jìn)行visudo的授權(quán)会喝,集中管理
系統(tǒng)用戶:
ps:堡壘機中涉及的用戶的相關(guān)功能
如同所示陡叠,jumpserver中主要涉及三個用戶信息,分別為普通用戶肢执、默認(rèn)管理用戶和系統(tǒng)用戶枉阵;其中普通用戶就是在用戶管理板塊進(jìn)行添加的用戶,用于登錄堡壘機的用戶预茄;系統(tǒng)用戶則是普通用戶通過堡壘機連接到服務(wù)器主機的普通用戶兴溜,這里簡單說以下就是,在jumpserver中不同的普通用戶可以通過堡壘機連接到同一個系統(tǒng)用戶來管理服務(wù)器主機耻陕;最后默認(rèn)管理用戶則是管理員通過堡壘機連接到服務(wù)器主機的用戶拙徽,主要目的是操作一些系統(tǒng)用戶沒去權(quán)限操作的項目,而使用admin不使用root是為了更具有安全性诗宣。
添加系統(tǒng)用戶膘怕,用戶密碼可設(shè)置也可不設(shè)置,不影響正常登錄到服務(wù)器主機召庞,在關(guān)聯(lián)sudo中便可以根據(jù)事先設(shè)定好的sudo配置來賦予該系統(tǒng)用戶的權(quán)限
添加完成后點擊推送選項岛心,將設(shè)置好的系統(tǒng)用戶推送到服務(wù)器主機中,資產(chǎn)則代表該系統(tǒng)用戶可以直接管理的服務(wù)器主機裁眯,顯示推送成功代表完成鹉梨。
授權(quán)規(guī)則:
該操作就是設(shè)置一個規(guī)則讳癌,所有普通用戶穿稳,根據(jù)這個規(guī)則進(jìn)行操作,如圖所示晌坤,定義一個asd規(guī)則(隨意命名)逢艘,讓普通用戶admin可以使用dev這個系統(tǒng)用戶通過jumpserver連接到web03這臺服務(wù)器進(jìn)行管理。
四骤菠、jumpserver堡壘機的其他功能
日志審計
可直接查看通過jumpserver使用服務(wù)器的普通用戶有哪些它改,并做到事實監(jiān)控,命令記錄商乎,操作回放央拖,阻斷普通用戶連接的功能
歷史登陸記錄,哪個普通用戶什么時間登錄什么時間下機
只有批量操作時才會有所記錄,選擇所有主機鲜戒,點擊批量操作专控,出現(xiàn)批量操作的顯示頁面,其次批量操作也是通過ansible服務(wù)來執(zhí)行遏餐,但是只能執(zhí)行一些簡單的批量操作
直接查看是否有用戶進(jìn)行下載上傳操作
上傳下載
可以選擇文件路徑信息伦腐,上傳到服務(wù)器或者下載到本地
Xshell連接
通過上述操作建立Xshell的新會話,通過密鑰連接的方式失都,首先進(jìn)入到郵箱找到創(chuàng)建普通用戶時發(fā)送給我們的登錄信息郵件柏蘑,下載密鑰信息,在將密鑰導(dǎo)入到Xshell中即可粹庞,顯示此頁面代表成功
按照提示進(jìn)行操作即可
查看資產(chǎn)記錄
點擊更新咳焚,再點擊主機名稱,進(jìn)入資產(chǎn)界面庞溜,顯示高服務(wù)器主機的一些基礎(chǔ)資產(chǎn)信息黔攒,如下圖:
