23.5 jumpserver介紹

23.5 jumpserver介紹

開源堡壘機jumpserver介紹：

• 官網www.jumpserver.org
• Jumpserver是一款使用Python, Django開發的開源跳板機系統, 助力互聯網企業高效 用戶、資產、權限、審計 管理
• Auth 統一認證
• CMDB 資產管理
• 統一受權
• 日誌審計
• 自動化運維（ansible）
• 最新版v0.4.0，基於python3.6， django 1.11，目前還未開發完成，因此咱們接下來將要安裝v0.3.2

23.6 安裝jumpserver

Jumpserver安裝(0.4.0)

• yum install -y docker //首先安裝docker
• systemctl enable docker
• systemctl start docker //啓動docker服務
• curl -L https://github.com/docker/compose/releases/download/1.17.0-rc1/docker-compose-uname -s-uname -m > /usr/local/bin/docker-compose //安裝docker-compose
• chmod 755 /usr/local/bin/docker-compose
• git clone https://github.com/jumpserver/jumpserver.git //下載jumpserver源碼
• cd jumpserver
• 配置docker加速器 http://ask.apelearn.com/question/15126
• 檢查是否有監聽8080端口的服務，若是有關閉
• screen//進入到一個虛擬終端
• docker-compose up //使用docker-compose安裝jumpserver

Jumpserver安裝(0.3.2)

• 官方文檔https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%9F%BA%E4%BA%8E-RedHat-%E7%9A%84%E7%B3%BB%E7%BB%9F
• yum install -y git
• cd /home //要到一個空間大的目錄下面
• git clone https://github.com/jumpserver/jumpserver.git
• git checkout master
• cd jumpserver/install
• python install.py
• 若你的機器已經安裝過mysql，能夠先建立jumpserver庫以及對應的用戶名密碼，若沒有安裝就讓它自動安裝便可
• 安裝過程當中還須要設置一下使用的第三方郵件，建議你去申請一個免費的163郵箱
• 個人163郵箱smtp.163.com aming_test@163.com 8lFjprwrfEv1c

##在安裝以前，建議先停用掉沒必要要的服務：  
[root@Dasoncheng ~]# netstat -lntp
[root@Dasoncheng ~]# systemctl stop gitlab-runsvdir.service 
[root@Dasoncheng ~]# systemctl disable gitlab-runsvdir.service
[root@Dasoncheng ~]# systemctl stop mongod
[root@Dasoncheng ~]# systemctl disable mongod
[root@Dasoncheng ~]# cd /home  ##須要空間大一點的地方；
[root@Dasoncheng ~]# git clone https://github.com/jumpserver/jumpserver.git
[root@Dasoncheng home]# cd jumpserver/
[root@Dasoncheng jumpserver]# git branch  
##咱們克隆的jumpserver是dev分支下，咱們須要切換到master分支下！
##dev是正在開發的版本，
* dev
[root@Dasoncheng jumpserver]# git checkout master
Branch master set up to track remote branch master from origin.
Switched to a new branch 'master'
[root@Dasoncheng jumpserver]# git branch
  dev
* master
[root@Dasoncheng jumpserver]# cd install/  ##切換到master以後，裏面的文件也不同了；
[root@Dasoncheng install]# ls
developer_doc.txt  functions          install.py   next.py
docker             initial_data.yaml  install.pyc  requirements.txt
[root@Dasoncheng install]# python install.py  ##安裝，這個相似於批量的shell腳本；
……
You are using pip version 8.1.2, however version 9.0.1 is available.
You should consider upgrading via the 'pip install --upgrade pip' command.
開始關閉防火牆和selinux
setenforce: SELinux is disabled

請輸入您服務器的IP地址，用戶瀏覽器能夠訪問 [192.168.60.11]: 
是否安裝新的MySQL服務器? (y/n) [y]: n
請輸入數據庫服務器IP [127.0.0.1]: 
請輸入數據庫服務器端口 [3306]: 
請輸入數據庫服務器用戶 [jumpserver]: 
請輸入數據庫服務器密碼: p@ssw0rd 
請輸入使用的數據庫 [jumpserver]: 
鏈接數據庫成功
請輸入SMTP地址: smtp.163.com
請輸入SMTP端口 [25]: 
請輸入帳戶: gecz0000@163.com
請輸入密碼: gcz584201314
Connection unexpectedly closed: timed out
是否跳過(y/n) [n]? : y

	請登錄郵箱查收郵件, 而後確認是否繼續安裝

是否繼續? (y/n) [y]: y
開始寫入配置文件
開始安裝Jumpserver ...
開始更新jumpserver
……
請輸入管理員用戶名 [admin]: 
請輸入管理員密碼: [5Lov@wife]: 
請再次輸入管理員密碼: [5Lov@wife]: 
Starting jumpserver service:                               [  OK  ]

安裝成功，Web登陸請訪問http://ip:8000, 祝你使用愉快。
請訪問 https://github.com/jumpserver/jumpserver/wiki 查看文檔
[root@Dasoncheng install]# tail /home/jumpserver/jumpserver.conf   
##這個就是配置文檔，一些參數均可以在這裏面修改；
email_host = smtp.163.com
email_port = 25
email_host_user = gecz0000@163.com
email_host_password = gcz584201314
email_use_tls = False
email_use_ssl = False

**小技巧：如何停用yum其餘擴展源？ **
[root@Dasoncheng ~]# cd /etc/yum.repos.d/
[root@Dasoncheng yum.repos.d]# ll
-rw-r--r--. 1 root root 410 Sep 14 2016 zabbix.repo
[root@Dasoncheng yum.repos.d]# mv zabbix.repo zabbix.repo.bak
##修改拓展源就能夠了！
爲何咱們要安裝jumpserver0.3.2版本的呢？而不是最新0.4的呢？
0.4版本的Python用的是3.版本系列的，centos7自帶的是2.7.5系列的；（能夠rpm -qa查看）
0.4的須要安裝docker 並且新版本功能還不夠完善，故：安裝0.3系列；

23.7 登陸jumpserver

Jumpserver使用：

• 瀏覽器輸入ip:8000 訪問jumpserver
• 默認用戶名是admin，密碼是5Lov@wife
• 點擊用戶管理，選擇用戶，點擊Administrator那一行右側的更新，設置密碼
• 建立用戶組 運維
• 建立用戶 aming
• 點擊設置，默認管理用戶，該用戶爲管理員用戶，應該有sudo權限，須要在每一臺客戶機上建立該用戶（用戶名自定義，jump）
• 在一臺linux機器上生成一個密鑰對，用來做爲該管理用戶的密鑰對
• 把私鑰粘貼到默認密鑰下面
• 在客戶機上建立jump用戶，並設置sudo權限，把剛剛生成的密鑰對裏面的公鑰放到該客戶機的jump用戶家目錄.ssh/authorized_keys文件裏
• 資產管理，查看資產組，添加資產組（如，dev）
• 資產管理，查看資產，添加資產，填寫各項信息
• 受權管理，系統用戶，添加系統用戶，該用戶爲咱們登陸全部客戶機的用戶
• 受權規則，添加規則，建立受權規則

**用戶管理：**登陸jumpserver頁面的用戶管理。

**資產管理：**至關於cmdb的功能，對設備資產進行分類管理。

受權管理：

sudo：
系統用戶：jumpserver裏面關於3種用戶：

1. 登陸jumpserver的用戶；（在用戶管理）
2. 登陸客戶機的用戶；（即系統用戶 在受權管理）
3. 默認管理用戶；（管理機器的時候用到--權限較高 在設置裏面管理）

受權規則：規定哪些用戶/用戶組 有權限連某個或者某個組的機器；

日誌審計：
包括但不限於：登陸歷史，命令歷史 批量執行歷史，文件上傳下載歷史；
上傳下載：
文件上傳下載歷史；

小提示：主要功能是_用戶登陸_和_日誌審計_；

23.8 建立管理用戶

Jumpserver裏面的用戶：

• jumpserver用戶用來登陸jumpserver（web界面、ssh登陸）
• 管理用戶用來自動建立客戶機上的系統用戶、批量執行命令等操做
• 客戶機上的系統用戶，用來經過jumpserver去登陸每一臺客戶機的用戶

**生成密鑰：**每臺客戶機都須要這樣一個帳戶。

[root@Dasoncheng .ssh]# ll
total 8
-rw-r--r--. 1 root root 406 Sep 25 07:18 authorized_keys
-rw-r--r--  1 root root 350 Oct 19 10:28 known_hosts
[root@Dasoncheng .ssh]# ssh-keygen -f jump
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in jump.
Your public key has been saved in jump.pub.
The key fingerprint is:
9a:2c:77:58:a3:c9:3e:04:08:1a:ea:20:0b:ea:a8:39 root@localhost.localdomain
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|o                |
|oo .             |
|* . .            |
|*.   .  S        |
|o.   o.B .       |
|o   ..X .        |
|Eo   +..         |
|+.    ..         |
+-----------------+
[root@Dasoncheng .ssh]# ll
total 16
-rw-r--r--. 1 root root  406 Sep 25 07:18 authorized_keys
-rw-------  1 root root 1679 Nov  6 14:24 jump
-rw-r--r--  1 root root  408 Nov  6 14:24 jump.pub
-rw-r--r--  1 root root  350 Oct 19 10:28 known_hosts

客戶機建立管理用戶：

[root@localhost ~]# useradd jump
[root@localhost ~]# su - jump
[jump@localhost ~]$ mkdir .ssh
[jump@localhost ~]$ vim .ssh/authorized_keys 
[jump@localhost ~]$ cat .ssh/authorized_keys  ##將建立的jump公鑰內容複製以下：
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7zyHpTYb401E/osFrJzwRAY+X1nCx3rk2zCWhRMO+o1b+TvmEzn9raVpmTMzm4YB38KePueWVV5JpOVFURlmBZmX08zXJXqK3scHwg1ZpxI17mZqzdxWF7AI3cpM4pnaDoiCUT8OrHDZL0uLSC+LBMIwRiccxyM2IyVeMv9LWlvodZVJNKaLEKP/gbZ6dK2NAPyu/lA7nhGtz0lFZcWsPGxBmDu34f6Sjt099zmYlxgr8TD/3uuQYIrpCuA7dKPXGY7UjvyiTh+jjuu3Az24K5vHEebDx4/qg2o4bzUUbPf/wY6tFMg5R4xBbvdnvxG5omlhwP65Co4a2Nb8CpZvj root@localhost.localdomain
[jump@localhost ~]$ chmod 700 .ssh/
[jump@localhost ~]$ chmod 400 .ssh/authorized_keys 
##設置sudo權限（不用root密碼，全部權限）
[root@localhost ~]# visudo
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
jump    ALL=(ALL)       NOPASSWD:ALL
##使用60.11密鑰登陸測試：
[jump@localhost ~]$ ssh --help
unknown option -- -
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
           [-D [bind_address:]port] [-E log_file] [-e escape_char]
           [-F configfile] [-I pkcs11] [-i identity_file]
           [-L [bind_address:]port:host:hostport] [-l login_name] [-m mac_spec]
           [-O ctl_cmd] [-o option] [-p port]
           [-Q cipher | cipher-auth | mac | kex | key]
           [-R [bind_address:]port:host:hostport] [-S ctl_path] [-W host:port]
           [-w local_tun[:remote_tun]] [user@]hostname [command]
[root@Dasoncheng .ssh]# ssh -i jump jump@192.168.60.12
Last login: Mon Nov  6 14:38:28 2017
##登陸成功；
##在這裏管理用戶也就建立成功了；

問題：Linux系統如何生成密鑰對呢？ ssh-keygen -f jump 參數：-f 指定密鑰名 建立後會多兩個文件，一個爲公鑰 一個私鑰；