開源堡壘機jumpserver的配置和使用

 

開源跳板機jumpserver配置和使用

http://docs.jumpserver.org/zh/docs/quick_start.html#id9

系統設置

基本設置

# 修改url 的"localhost"爲你的實際url地址, 不然郵件收到的地址將爲"localhost"也沒法建立新用戶

 

郵件設置

# 點擊頁面上邊的"郵件設置", 進入郵件設置頁面

# 默認使用 25 端口, 不勾選 SSL 和 TLS; 若是須要勾選 SSL, 端口須要修改爲 465; 若是須要勾選 TLS, 端口須要改爲 587

# 不能夠同時勾選 SSL 和 TLS

# 配置郵件服務後, 點擊頁面的"測試鏈接"按鈕, 若是配置正確, Jumpserver 會發送一條測試郵件到您的 SMTP 帳號郵箱裏面, 肯定收到測試郵件後點擊保存便可使用

qq屏蔽的厲害   163和阿里雲企業郵箱OK

 

 

LDAP設置

# 若是不須要使用"ldap"用戶登錄 jumpserver, 能夠直接跳過, 不須要設置

# 先"測試"經過才能保存

# DN 和 OU 必定要完整(如 "DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org")

# 注：可借用第三方 gui 工具查看 ldap 用戶的屬性, 新版本已經支持中文名登陸, 即cn=中文也可正常使用

http://docs.jumpserver.org/zh/docs/faq_ldap.html

 

終端設置

# "密碼認證"和"密鑰認證"是 SSH 鏈接跳板機時所使用的認證方式(都不選會形成沒法使用 SSH 方式鏈接登陸跳板機, 不影響 web 登陸)

# "Telnet成功正則表達式" telnet設備登錄失敗須要設置

# "命令存儲""錄像存儲"位置設置

# "命令存儲""錄像存儲"修改後, 須要在Jumpserver 會話管理-終端管理 修改terminal的配置 錄像存儲 命令記錄, 而後重啓 Jumpserver 服務

# 設置後重啓 Coco 才能生效

 

 

安全設置

# "MAF二次認證"勾選會開啓全局強制"MFA", 全部 jumpserver 用戶必須使用動態口令進行認證登陸(即時生效)

# "限制登陸失敗"和"限制登陸時間"設置須要重啓 jumpserver 才能生效

# "SSH最大空閒時間"設置須要重啓 coco 才能生效

# "密碼校驗規則"設置當即生效

MFA下面細說，這裏先跳過 

 

 

用戶管理

建立Jumpserver用戶

# 點擊頁面左側"用戶列表"菜單下的"用戶列表", 進入用戶列表頁面

# 點擊頁面左上角"建立用戶"按鈕, 進入建立用戶頁面, (也能夠經過右上角導入模版進行用戶導入)

# 其中, 用戶名即 Jumpserver 登陸帳號(具備惟一性, 不能重名)。名稱爲頁面右上角用戶標識(可重複)

# 成功提交用戶信息後, Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的用戶郵箱

# 點擊郵件中的設置密碼連接, 設置好密碼後, 您就能夠用戶名和密碼登陸 Jumpserver 了。

# 用戶首次登陸 Jumpserver, 會被要求完善用戶信息, 按照嚮導操做便可。

注：MFA 即 Google Authenticator, 使用此軟件須要APP時間與瀏覽器時間同步

 

資產管理

編輯資產樹

# "節點"不能重名, 右擊節點能夠添加、刪除和重命名節點, 以及進行資產相關的操做

注：若是有 linux 資產和 windows 資產, 建議先創建 Linux 節點與 Windows 節點, 否則"受權"時很差處理

 

 

建立管理用戶

我這裏是admin用戶

# "管理用戶"是資產上的 root, 或擁有 NOPASSWD: ALL sudo 權限的用戶, Jumpserver 使用該用戶來推送系統用戶、獲取資產硬件信息等。 Windows或其它硬件能夠隨意設置一個

# "名稱" 不能重複

# "ssh私鑰" 若是私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

 

 

建立系統用戶

# "系統用戶"是 Jumpserver 跳轉登陸資產時使用的用戶, 用戶使用該用戶登陸資產

# "自動生成密碼"、"自動推送"、"Sudo"等功能須要對應資產的"管理用戶"是且有root權限, 不然自動推送失敗

# ssh 協議的 "Sudo" 欄設定用戶的 sudo 權限,

# ssh 協議若是建立的"系統用戶"已在資產上面存在,"推送"將會覆蓋掉原用戶的"home"目錄權限(注: 替換成700權限)

# ssh 協議的 "ssh私鑰" 若是私鑰有密碼, 請把key的密碼填在密碼欄上, 目前僅支持 RSA DSA 格式私鑰

# 這裏簡單舉幾個 "sudo" 設置例子

Sudo /bin/su  # 當前系統用戶能夠免sudo密碼執行sudo su命令

Sudo /usr/bin/git, /usr/bin/php,
				/bin/cat,
				/bin/more,
				/bin/less,
				/usr/bin/tail

# 當前系統用戶能夠免sudo密碼執行git php cat
				more less tail

Sudo !/usr/bin/yum  # 當前系統用戶不能夠執行sudo yum命令

# 此處的權限應該根據使用用戶的需求彙總後定製, 原則上給予最小權限便可

# "系統用戶"建立時, 若是選擇了"自動推送" Jumpserver 會使用"Ansible"自動推送系統用戶到資產中,
				"root"用戶不支持推送

# 若是資產(交換機、Windows)不支持"Ansible", 請去掉"自動生成密鑰"、"自動推送"勾選。手動填寫資產上已有的帳號及帳號密碼

# 若是想讓用戶登陸資產時本身輸入密碼, 能夠在建立系統用戶時選擇"手動登陸"

 

建立命令過濾

如無須要, 可忽略此步驟, 目前僅支持ssh 與telnet 協議

# "系統用戶"能夠綁定一些"命令過濾器"，一個過濾器能夠定義一些"規則"

# 當"用戶"使用這個"系統用戶"登陸資產，而後執行一個命令 這個命令須要被綁定過濾器的全部規則匹配，高優先級先被匹配

# 當一個規則匹配到了，若是規則的動做是 "容許" 這個命令會被放行； 若是規則的動做是 "禁止" 命令將會被禁止執行； 不然就匹配下一個規則，若是最後沒有匹配到規則，則容許執行

 

 

建立標籤

 

建立資產

# 點擊頁面左側的"資產管理"菜單下的"資產列表"按鈕, 查看當前全部的資產列表。

# 點擊頁面左上角的"建立資產"按鈕, 進入資產建立頁面, 填寫資產信息。

# IP 地址和管理用戶要確保正確, 確保所選的管理用戶的用戶名和密碼能"牢靠"地登陸指定的 IP 主機上。

# 資產的系統平臺也務必正確填寫。公網 IP 信息只用於展現, 可不填, Jumpserver 鏈接資產使用的是 IP 信息。

# 資產建立信息填寫好保存以後, ssh 協議資產可"測試資產"是否能正確鏈接, 其餘協議暫不支持

注：被鏈接資產須要"python"組件, 且版本大於等於2.6, Ubuntu等資產默認不容許root用戶遠程ssh登陸, 請自行處理

# 若是資產不能正常鏈接, 請檢查"管理用戶"的用戶名和密鑰是否正確以及該"管理用戶"是否能使用 SSH 從 Jumpserver 主機正確登陸到資產主機上

SSH 協議參考SSH 協議資產鏈接說明

RDP 協議參考RDP 協議資產鏈接說明

Telnet 協議參考Telnet 協議資產鏈接說明

批量上傳CSV windows環境OK,MAC失敗了

調整資產樹

 

創建授權規則

爲用戶分配資產

# "名稱", 受權的名稱, 不能重複

# "用戶"和"用戶組"二選一, 不推薦即選擇用戶又選擇用戶組

# "資產"和"節點"二選一, 選擇節點會包含節點下面的全部資產

# "系統用戶", 及所選的用戶或用戶組下的用戶能經過該系統用戶使用所選節點或者節點下的資產

# 用戶(組), 資產(節點), 系統用戶是一對一的關係, 因此當擁有 Linux、Windows 不一樣類型資產時, 應該分別給 Linux 資產和 Windows 資產建立受權規則

 

用戶登錄

登錄 Jumpserver

# 用戶只能看到本身被管理員受權了的"資產", 若是登陸後無資產, 請聯繫管理員進行確認

鏈接資產

# 在個人資產點擊資產右邊的 "鏈接" 快速鏈接資產

# 也能夠點擊左側欄的 "Web終端" 

 

斷開資產

# 點擊頁面頂部的 "Server" 按鈕會彈出選個選項, 第一個斷開所選的鏈接, 第二個斷開全部鏈接。

文件管理

# 點擊 "文件管理"

# 先在左邊選擇資產, 目前只支持自動登陸的 SSH 協議資產

# 也可使用 sftp 方式進行文件管理

新建一個目錄，默認在/tmp下面

 

會話管理

在線會話

歷史會話

能夠回放一下，這個666

命令記錄

做業中心

任務列表

做業是 Jumpserver 向其所管理下的資產發送的指令, 例如, 測試資產可鏈接性、獲取資產硬件信息、測試管理用戶可鏈接性和測試系統用戶可鏈接性等命令。默認展現最近7天的做業記錄。

批量任務

 

日誌審計

登陸日誌

FTP日誌

操做日誌

我確實改了，禁止reboot

改密日誌

批量命名日誌

 

 

安全-MFA登錄驗證

簡單的用戶名密碼就能登錄，太危險了。加一個MFA隨機驗證碼這種黑科技限制一下。

Multi-Factor Authentication (MFA) 是一種簡單有效的最佳安全實踐方法，它可以在用戶名和密碼以外再額外增長一層安全保護。

啓用 MFA 後，用戶登陸阿里雲網站時，系統將要求輸入用戶名和密碼（第一安全要素），而後要求輸入來自其MFA 設備的動態驗證碼（第二安全要素），雙因素的安全認證將爲您的帳戶提供更高的安全保護

虛擬 MFA 設備是能產生6 位數字認證碼的應用程序，遵循基於時間的一次性密碼（TOTP）標準（RFC 6238）。

# 關閉也是在這裏, 點擊此處的重置便可

# 部分安卓手機沒法使用 Google Authenticator, 能夠嘗試使用系統自帶的【掃一掃】工具

 # 或者嘗試使用第三方軟件 (如 Microsoft Authenticator 、身份寶 等) 

MFA遺失沒法登錄

# 普通用戶聯繫管理員關閉MFA, 登陸成功後用戶在我的信息裏面從新綁定.

# 若是管理員遺失沒法登錄, 修改數據庫 users_user 表對應用戶的 otp_level 爲 0, 從新登錄綁定便可

$ mysql -uroot

> use jumpserver;

>
				update users_user set otp_level='0' where username='admin';  # admin 爲你要修改的用戶

 

# 若是在系統設置裏面開啓的 MFA 二次認證, 須要修改數據庫 settings 表 SECURITY_MFA_AUTH 的 value 值爲 false

mysql -uroot

> use jumpserver;

>
update settings set value='false' where name='SECURITY_MFA_AUTH';