当前位置:   article > 正文

【Linux 的开胃小菜】JumpServer来袭,开源堡垒机安装及使用教程_jumpserver 卸载

jumpserver 卸载

在这里插入图片描述
在这里插入图片描述

介绍


JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。
JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。

特色优势


  • 开源:零门槛,线上快速获取和安装;
  • 分布式:轻松支持大规模并发访问;
  • 无插件:仅需浏览器,极致的 Web Terminal 使用体验;
  • 多云支持:一套系统,同时管理不同云上面的资产;
  • 云端存储:审计录像云端存储,永不丢失;
  • 多租户:一套系统,多个子公司和部门同时使用;
  • 多应用支持:数据库,Windows远程应用,Kubernetes。

安装要求:

这里推荐 一键安装,如需其他安装方式 需求参考官网

推荐使用外置 数据库 和 Redis,方便日后扩展升级。

DBVersionCacheVersion
MySQL>= 5.7Redis>= 5.0
MariaDB>= 10.2

一键部署

# 默认会安装到 /opt/jumpserver-installer-v2.14.2 目录
curl -ssl
https://github.com/jumpserver/jumpserver/releases/download/v2.14.2/quick_start.sh | bashcd /opt/jumpserver-installer-v2.14.2 

# 安装完成后配置文件 
/opt/jumpserver/config/config.txt

# 启动
cd /opt/jumpserver-installer-v2.14.2
./jmsctl.sh start

# 停止
cd /opt/jumpserver-installer-v2.14.2
./jmsctl.sh down

# 卸载
cd /opt/jumpserver-installer-v2.14.2
./jmsctl.sh uninstall

# 帮助
cd /opt/jumpserver-installer-v2.14.2
./jmsctl.sh -h
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22

快速入门


以下操作均在 Web 页面完成,请使用 admin 用户登陆,默认密码 admin

一、系统设置

1.1 基本设置

当前站点URLhttps://demo.jumpserver.org不设置的话,邮件收到的地址为http://localhost
用户向导URL用户首次登陆可以看到此超链接,可以不设置
忘记密码URL使用了LDAP,OPENID等外部认证系统,可以自定义

1.2 邮件设置

必须设置才能使用与邮件相关的功能

不可以同时勾选 使用SSL使用TLS

名称备注
SMTP主机服务商提供的 smtp 服务器
SMTP端口通常是 25
SMTP账号通常是 user@domain.com
SMTP密码需要重新输入密码
使用SSL如果端口使用465
使用TLS如果端口使用587
发件人测试连接 必须要输入
主题前缀收到的邮件是[JMS]开头
测试收件人测试连接必填

二、资产管理

准备两个测试资产和一个数据库来验证功能

IPHost namePort
172.16.80.11test_ssh0122
172.16.80.21test_rdp013389
172.16.80.31test_mysql013306

Windows 资产先进行 Windows SSH 设置
MySQL 应用需要授权 Core 和 KoKo 的远程访问的权限 MySQL 应用要求

2.1 编辑资产树

根节点 Default 不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作.
说明:
点击页面左侧的 资产管理 - 资产列表 先在根节点Default右键新建SSH ServerRDP Server两个节点

Defaule
├─ SSH Server
└─ RDP Server

  • 1
  • 2
  • 3
  • 4

2.2 创建特权用户

点击页面左侧的 资产管理 - 系统用户 - 创建特权用户 创建两个特权用户,特权用户的内容就是上面表单的 Admin User Password

名称不能重名,密码或者密钥二选一即可,一些资产不允许通过 密码认证 可以改用 私钥 认证

表单特权用户示例
名称root
用户名root
密码Test 2020.L

2.3 创建资产

点击页面左侧的 资产管理 - 资产列表 - 创建资产 把两个资产导入

主机名不能重名

表单SSH 资产示例RDP 资产示例
主机名test_ssh01test_rdp01
IP(域名)172.16.80.11172.16.80.21
系统平台LinuxWindows
公网IP
网域
协议组ssh 22rdp 3389
特权用户rootadministrator
节点DefaultDefault /

创建 Windows 资产,注意协议组我们需要选择 ssh rdp,否则无法获取 Windows 资产的状态及硬件信息。

2.3.1 创建数据库应用

击页面左侧的 应用管理 - 数据库应用 - 创建数据库应用 创建 mysql 数据库

表单MySQL 资产示例
名称test_mysql01
类型MySQL
主机172.16.80.31
端口3306
数据库
备注MySQL 资产

数据库 选项可以留空,如果是某些特定用户,只允许访问指定的数据库,这里指定数据库名称即可。

2.4 创建系统用户

IPSystem UserPassword
172.16.80.11testssh01random pass
172.16.80.21testrdp01random pass
172.16.80.23rootTest2020.M

2.4.1 系统用户提示

点击页面左侧的 资产管理 - 系统用户 - 创建普通用户 创建对应协议系统用户

表单SSH 系统用户
名称test_ssh01_测试系统用户
协议ssh
用户名testssh01
动态用户名
登录模式自动登陆
认证方式托管密码
自动生成
自动推送
SudoALL
Shell/bin/bash
家目录
用户附属组
命令过滤器
SFTP根路径/
表单RDP 系统用户
名称test_rdp01_测试系统用户
协议rdp
用户名testssh01
动态用户名
认证方式托管密码
自动生成
自动推送
AD域名
自动推送
用户附属组Users
表单MySQL 系统用户
名称test_mysql01_测试系统用户
认证方式托管密码
用户名root
协议mysql
密码Test2020.M

三、创建授权规则

3.1 为用户分配资产

IPSystem UserUser
172.16.80.11testssh01admin
172.16.80.21testrdp01admin
172.16.80.31rootadmin

点击页面左侧的 授权管理 - 资产授权 - 创建授权规则 创建两个授权

表单SSH 资产授权RDP 资产授权
名称测试授权测试授权
用户AdministratorAdministrator
用户组
资产test_ssh01test_rdp01
节点
系统用户测试系统用户测试系统用户
权限√ 全部√ 全部

资产授权提示

3.1.1 为用户分配数据库应用

点击页面左侧的 授权管理 - 数据库应用 - 创建授权规则 创建数据库授权

表单MySQL 资产授权
名称test_mysql01_测试授权
用户Administrator(admin)
用户组
数据库应用test_mysql01
系统用户test_mysql01_测试系统用户(root)

四、用户登录

登录 JumpServer

点击页面左侧的 会话管理 - Web终端 用户只能看到自己被管理员授权了的 资产,如果登录后无资产,请联系管理员进行确认

4.1 连接资产

在我的资产点击资产右边的 连接 快速连接资产 也可以点击左侧栏的 Web终端 点击 资产 名字,就连上资产了 如果显示连接 超时,请参考 FAQ 文档进行处理

4.2 断开资产

点击页面顶部的 Server 按钮会弹出选个选项,第一个断开所选的连接,第二个断开所有连接 也可以直接点资产小窗口的 X,SSH 会话也可以输入 exit 来退出 直接关闭页面也可以,但是不推荐

4.3 文件管理

点击 文件管理 先在左边选择 资产,目前只支持自动登录的 SSH 协议 资产 也可以使用 sftp 方式进行 文件管理

五、安全建议

  • Jumpserver 对外需要开放 80 4432222 端口
  • JumpServer 所在服务器操作系统应该升级到最新
  • JumpServer 依赖的软件最好升级到最新版本
  • 服务器、数据库、redis 等组件请勿使用弱口令密码
  • 不推荐关闭 firewalld 和 selinux只开放必要的端口。如果必须开放到外网使用的话请通过 vpn 或者 sslvpn 访问 JumpServer
  • 最好部署 web 应用防火墙做安全过滤请部署 ssl 证书通过 https 协议来访问 JumpServer
  • JumpServer 不要使用弱口令密码,应立即改掉默认的 admin 密码
  • 推荐开启 MFA 功能,避免因密码泄露导致的安全问题关注官方更新,及时更新修复漏洞的版本

更多操作使用方法请参考官网
References https://docs.jumpserver.org/zh/master/

You can’t change the world, but you can change yourself. 你无法改变世界,但你可以改变自己。
本篇完_

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/70028
推荐阅读
相关标签
  

闽ICP备14008679号