一.前言我们谈到了openvpn的引入和使用。 它可以从互联网通过openvpn连接到公司内部网络服务器上进行远程管理。 但是,openvpn有一个缺点,它无法记录哪些用户在内部网服务器上执行了什么操作。 如果您拥有客户端证书和私钥以及ca证书和客户端配置,则可以直接连接到内部网。 从某种意义上来说,这不是一个安全的解决方案。
今天我们来谈谈与openvpn具有同样功能的软件jumpserver; jumpserver和openvpn允许用户通过互联网连接到公司内部网络服务器,但jumpserver通常不放在互联网上,它主要用作运输、开发和测试人员,并与公司内部网络服务器连接实现公司内部网络服务器的集中管理jumpserver还具有权限管理、用户管理、播放监视等功能。
二. jumpserver体系结构图
三. jumpserver服务器安装文档安装:
Linux生成随机加密私钥,可以使用以下命令
if [! “$SECRET_KEY' ] '”; then
secret _ key=` cat/dev/urandom|tr-DCA-za-z0-9|head-c50 `;
echo ' secret _ key=$ secret _ key '~~/. bashrc;
echo $SECRET_KEY;
else
echo $SECRET_KEY;
fi
if [! ' $BOOTSTRAP_TOKEN' ] ' '; then
bootstrap _ token=` cat/dev/urandom|tr-DCA-za-z0-9|head-C16 `;
echo ' bootstrap _ token=$ bootstrap _ token '~/.bashrc;
echo $BOOTSTRAP_TOKEN;
else
echo $BOOTSTRAP_TOKEN;
fi
文档运行--name JMS _ all-d
-p801:80-p2222:22223
-e SECRET_KEY=$SECRET_KEY
- e bootstrap _ token=$ bootstrap _ token
- v/opt/jumpserver/data :/opt/jumpserver/data
- v/opt/jumpserver/MySQL 3360/var/lib/MySQL--privileged=true
jumpserver/jms_all:v2.2.2(指定版本安装) ) ) ) ) ) ) ) ) ) )。
文档运行--name JMS _ all-d
-p801:80-p2222:22223
-e SECRET_KEY=$SECRET_KEY
- e bootstrap _ token=$ bootstrap _ token
jumpserver/jms_all:latest (最新版本的安装) ) )
提示:使用docker logs -f容器id时,将显示上图中的信息,表明jumpserver容器已开始起步。
安装后过程:
1、设置管理用户,需要root权限
2、设置系统用户,为实际登录主机的用户
3、增加资产
4、增加用户
5、设置资产许可证规则
一般来说,所有服务都有多少密码,设置多少系统用户和授权规则,并根据实际情况配置和管理用户
访问jumpserver
提示:通过访问jumpserver容器所在主机的ip地址可以访问jumpserver。 默认用户名和密码为admin;
提示:首次登录时,重置密码。
提示:重置密码后,重新登录。 jumpserver的首页如上图所示。 然后,我们就可以通过这个界面管理内部网服务器了; 此jumpserver服务器已完成
四. jumpserver使用1、jumpserver的基本设置
提示:首选项必须设置当前jumpserver的url和邮件主题前缀; 这样,指向用户收到的邮件的所有链接都指向此jumpserver的url;
2、设置从jumpserver发送邮件的邮件服务器和用户名密码
提示:系统设置- -在测试连接之前,在邮件设置中填写相应的帐户信息、邮件服务器信息。 如果邮件能成功接收,表示邮件服务器信息和邮件用户名、密码没有问题。 最后提出;
3、创建用户
提示:用户管理----用户列表---创建; 填写用户信息后,单击底部的提交;
>提示:新建用户成功以后,对应的用户邮箱就会收到一份有jumpserver发送到用户创建成功的邮件,用户可以点击此邮件中的链接进行密码设定;提示:密码设定好了,点击设置;用户会收到一份密码更新成功的邮件;
4、创建用户组,并把test用户添加到对应的组中;
提示:用户管理--->用户组---->创建,填写好组信息和选择好用户后,点击提交即可;
5、jumpserver 资产管理--->管理用户创建
提示:资产管理---->管理用户---->创建,填写好对应被管控端的管理员和密码点击提交;管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等。
6、创建系统用户,这里的系统用户是指我们使用jumpserver登录到对应的被管控主机时用的用户
提示:资产管理--->系统用户--->新建,填写好用户名,勾选自动推送和自动生成密钥,点击最下方的提交即可;这里填写的用户会用作jumpserver上登录对应的主机用到用户,如果被管控端没有这个用户,jumpserver就会利用我们刚才添加的管理用户去创建一个这里的系统用户;
7、创建资产
提示:资产管理--->资产列表--->新建,填写对应被管控的的主机信息和ip地址信息,以及管理用户,点击最下方的提交;
提示:提交完成后,我们就可以在资产列表中看到我们刚才添加到主机;
8、资产授权
提示:权限管理--->资产授权--->创建,填写好名称后,要选择用户和组以及资产和系统用户,然后点击最下方的提交;到此一个资源就授权给test用户和test组中的成员了;这里需要注意一点,一个节点中有很多server,如果你只想授权单台server给某个用户,下面的节点就留空,如果你想授权一个节点给用户你可以选择节点,上面的资产就可以留空,如果你又想授权单个资产和某个节点给用户,就选择对应的资产和节点即可;如果这里选择default节点,表示把default节点下的所有主机都授权给用户;默认default节点包含所有主机;
验证:使用test用户登录jumpserver,看看test用户是否能够看到我们创建的资源?
提示:首次登陆,它会让我们更新用户的信息,然后同一些条款,这个我们按照实际信息来修改即可;在我的资产中可以看到当前用户有点资产;
验证:使用test用户连接node01看看是否可以连接到node01?
提示:可以看到test用户是可以正常使用我们配置的jumpserver用户正常正常的连接到node01;
9、查看用户操作回放
提示:点击会话管理---->会话管理---->历史会话----> 找到对应会话后面的回放即可查看对应用户在过去会话中执行的操作;
好了,jumpserver的基本操作就到此为止了,后续其他日志啊,都可以在web上点击对应的菜单查看,我这里就不过多阐述了;