jumpserver 堡垒机，（管理服务器以及MySQL）_jumpserver堡垒机

一.堡垒机的基本概念

 堡垒机也是一台服务器，在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集、监控网络环境中每一个组成部分（服务器）的系统状态、安全事件、网络活动，以便集中报警、及时处理以及审计定责

堡垒机的优点

堡垒机可以给其他服务器推送sudo用户，并且为其设置权限
堡垒机多了一个用户行为监控的功能，并且是录像！如果出现误操作、违规操作而导致的事故的话，可以快速定位到原因和责任人

二.jumpserver部署

准备一台虚拟机

虚拟机的内存给大点 不然之后容易打不开jumpserver

关闭防火墙与selinux,下载lrzsz

下载lrzsz为了后面的导包

# systemctl stop firewalld  && setenforce 0
 
# yum -y install lrzsz

检查虚拟机的时间是否正确！！！！！！！

#date  
 查看系统时间是否正确
 
# ntpdate ntp.aliyun.com
校准时间

导包

[root@localhost opt]# rz
[root@localhost opt]# tar xf jumpserver-offline-installer-v2.23.0-amd64-23.tar.gz 
[root@localhost opt]# ls
jumpserver-offline-installer-v2.23.0-amd64-23  jumpserver-offline-installer-v2.23.0-amd64-23.tar.gz
 
[root@localhost opt]# cd jumpserver-offline-installer-v2.23.0-amd64-23 
 
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ls
compose  config-example.txt  config_init  jmsctl.sh  LICENSE  locale  quick_start.sh  README.md  scripts  static.env  utils
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# 
 
 

下载jmsctl.sh ，一路回车

[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ./jmsctl.sh  install

安装成功，启动服务

[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# ./jmsctl.sh  start
jms_mysql is up-to-date
jms_redis is up-to-date
Creating jms_core ... done
Creating jms_koko   ... done
Creating jms_magnus ... done
Creating jms_web    ... done
Creating jms_celery ... done
Creating jms_lion   ... done
[root@localhost jumpserver-offline-installer-v2.23.0-amd64-23]# 

网页打开

在网页打开，输入ip   10.36.192.120就是你安装jumpserver的虚拟机

第一次登录

名字：admin

密码：admin

修改完密码，再次登录

首先创建用户组

创建普通用户小明

这个用户就是用来登录jumpserver的

创建特权用户

这个是用来登录虚拟机的用户

创建普通用户，也是登录虚拟机的用户

创建资产

此ip是你要管理虚拟机的ip，不是用来登录jumpserver的虚拟机ip

保存之后

出现此现象，退出去重新登录即可。

命令过滤

设置命令过滤器规则

进行资产授权

测试资产可连接性

用命令行登录：

输入p查看主机，因为之前添加主机只有10.36.192.65 因此这里的主机只有这一个

# ssh -p2222 admin@10.36.192.120
admin@10.36.192.120's password: 
 
             Administrator,  JumpServer 开源堡垒机
 
        1) 输入 部分IP，主机名，备注 进行搜索登录(如果唯一).
        2) 输入 / + IP，主机名，备注 进行搜索，如：/192.168.
        3) 输入 p 进行显示您有权限的主机.
        4) 输入 g 进行显示您有权限的节点.
        5) 输入 d 进行显示您有权限的数据库.
        6) 输入 k 进行显示您有权限的Kubernetes.
        7) 输入 r 进行刷新最新的机器和节点信息.
        8) 输入 s 进行中英日语言切换.
        9) 输入 h 进行显示帮助.
        10) 输入 q 进行退出.
Opt> 
输入p 即可查看主机
 
  ID    | 主机名                                                                  | IP                                       | 备注                                   
--------+-------------------------------------------------------------------------+------------------------------------------+----------------------------------------
  1     | ftp                                                                     | 10.36.192.65                             |                                        
页码：1，每页行数：20，总页数：1，总数量：1
提示：输入资产ID直接登录，二级搜索使用 // + 字段，如：//192 上一页：b 下一页：n
搜索：
[Host]> 
 
 

输入p，是查看主机 只有一台主机

输入ID 1，即是进入管理主机，发现这台主机有俩个用户 root和guest，输入用户ID  1登录

查看ip 发现成功登录。 使用命令  mv  cp均被禁止，这是因为之前在网页端设置了命令过滤规则！！！！

小明登录 

因为有俩个用户可以登录jumpserver  一个admin一个小明

[root@localhost ~]# ssh -p2222 xiaoming@10.36.192.120
xiaoming@10.36.192.120's password: 
 
 
输入p
 
  ID    | 主机名                                                                  | IP                                       | 备注                                   
--------+-------------------------------------------------------------------------+------------------------------------------+----------------------------------------
  1     | ftp                                                                     | 10.36.192.65                             |                                        
页码：1，每页行数：20，总页数：1，总数量：1
提示：输入资产ID直接登录，二级搜索使用 // + 字段，如：//192 上一页：b 下一页：n
搜索：
[Host]> 

CTRL+d  是退出

修改设置

当前站点信息 设置为登录的ip

邮箱

创建新用户小帅

登录密码不设置邮箱策略，也可以直接设置密码

单独登录小帅用户

发现什么都没有

登录admin 资产授权里 添加用户小帅

登录小帅，找到WEB终端

发现小帅可以登录root用户来管理主机10.36.192.65

之前还创建一个guest普通用户 用来登录服务器的，现在看guest用户能否登录服务器

登录admin，应用管理 添加mysql

管理的是我主机10.36.192.36的mysql应用

添加登录mysql数据库的用户  xiaozhou

给mysql应用授权

小帅与admin一样 是登录jumpserver的系统用户

在10.36.192.36主机登录mysql，创建普通用户小周，来登录myslq

mysql> grant all on *.* to  'xiaozhou'@'%' identified by '123';
Query OK, 0 rows affected, 1 warning (0.00 sec)

尝试登录，成功登录

[root@localhost ~]# mysql -uxiaozhou -p123
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.7.27 Source distribution
 
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 
mysql> 

切换小帅用户，尝试用xiaozhou登录mysql

成功登录！