堡壘機介紹
在一個特定網絡環境下,爲了保障網絡和數據不受外界入侵和破壞,而運用各類技術手段實時收集和監控網絡環境中每個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、及時處理及審計定責。 咱們又把堡壘機叫作跳板機,簡易的跳板機功能簡單,主要核心功能是遠程登陸服務器和日誌審計。 比較優秀的開源軟件jumpserver,認證、受權、審計、自動化、資產管理。 商業堡壘機:齊治, Citrix XenApppython
開源堡壘機jumpserver介紹
- 官網www.jumpserver.org
- Jumpserver是一款使用Python, Django開發的開源跳板機系統, 助力互聯網企業高效 用戶、資產、權限、審計 管理
- Auth 統一認證
- CMDB 資產管理
- 統一受權
- 日誌審計
- 自動化運維(ansible)
- 最新版v0.4.0,基於python3.6, django 1.11,目前還未開發完成,因此咱們接下來將要安裝v0.3.2
Jumpserver安裝(0.4.0)
yum install -y docker //首先安裝docker systemctl enable docker systemctl start docker //啓動docker服務 curl -L https://github.com/docker/compose/releases/download/1.17.0-rc1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose //安裝docker-compose chmod 755 /usr/local/bin/docker-compose git clone https://github.com/jumpserver/jumpserver.git //下載jumpserver源碼 cd jumpserver 配置docker加速器 http://ask.apelearn.com/question/15126 檢查是否有監聽8080端口的服務,若是有關閉 screen//進入到一個虛擬終端 docker-compose up //使用docker-compose安裝jumpserver
Jumpserver安裝(0.3.2)
官方文檔https://github.com/jumpserver/jumpserver/wiki/v0.3.x-%E5%9F%BA%E4%BA%8E-RedHat #安裝git yum -y install git #克隆jumpserver cd /usr/local/ git clone https://github.com/jumpserver/jumpserver.git git checkout 0.3.3 注:不要安裝在/root、/home 等目錄下,以避免權限問題 #執行安裝腳本 cd jumpserver/install python install.py #注: 安裝過程當中要求輸入數據庫密碼時,直接回車就行 完成安裝後,請訪問web,繼續查看後續文檔 若是啓動失敗,請返回上層目錄,手動運行./service.sh restart啓動 默認帳號密碼 admin 5Lov@wife
Jumpserver的用戶
- jumpserver用戶用來登陸jumpserver(web界面、ssh登陸)
- 管理用戶用來自動建立客戶機上的系統用戶、批量執行命令等操做
- 客戶機上的系統用戶,用來經過jumpserver去登陸每一臺客戶機的用戶
Jumpserver使用
- 瀏覽器輸入ip:8000 訪問jumpserver
- 默認用戶名是admin,密碼是5Lov@wife
- 點擊用戶管理,選擇用戶,點擊Administrator那一行右側的更新,設置密碼
- 建立用戶組 運維
- 建立用戶 aming
- 點擊設置,默認管理用戶,該用戶爲管理員用戶,應該有sudo權限,須要在每一臺客戶機上建立該用戶(用戶名自定義,jump)
- 在一臺linux機器上生成一個密鑰對,用來做爲該管理用戶的密鑰對
- 把私鑰粘貼到默認密鑰下面
- 在客戶機上建立jump用戶,並設置sudo權限,把剛剛生成的密鑰對裏面的公鑰放到該客戶機的jump用戶家目錄.ssh/authorized_keys文件裏
- 資產管理,查看資產組,添加資產組(如,dev)
- 資產管理,查看資產,添加資產,填寫各項信息
- 受權管理,系統用戶,添加系統用戶,該用戶爲咱們登陸全部客戶機的用戶
- 受權規則,添加規則,建立受權規則
- 普通用戶的密碼以及密鑰下載地址、密鑰密碼都會經過郵件的方式發送給用戶
- 瀏覽器登陸普通用戶,能夠查看有權限的主機,也能夠在web界面下登陸主機、上傳和下載文件
- xshell建立新的鏈接
- ip爲jumpserver的ip,端口爲22
- 用戶名爲普通用戶名字(aming)
- 設置密鑰認證
- 鏈接後,出現登陸頁面,數據p查看全部被受權主機
- 輸入主機前面的數字能夠登陸到對應的主機下面