一、jumpserver堡壘機概念作用

1.堡壘機與跳板機的區(qū)別

1）什么是堡壘機
在一個特定的網(wǎng)絡環(huán)境下，為保障網(wǎng)絡和數(shù)據(jù)不受外界入侵和破壞，而運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動，以便于集中報警、及時處理及審計定責。
2）堡壘機和跳板機的區(qū)別
簡易的堡壘機稱為跳板機。功能簡單，主要核心功能是遠程登錄服務器和日志審計。
3）優(yōu)秀的開源軟件：jumpserver
支持認證、授權、審計、自動化和資產(chǎn)管理
4）商業(yè)化堡壘機
齊治、Citrix XenApp

2、堡壘機的作用

1）對用戶權限進行集中管理，根據(jù)不同用戶的職責來判定用戶的權限，再進行集中管理，不用分別登錄到不同的服務器上進再配置。如：普通用戶(oldboy)主要負責運維(sa)工作，而為了使oldboy用戶高效工作，需根據(jù)公司的實際情況給其分配不同的權限，此時就需登陸到多臺不同的服務器主機進行授權，而堡壘機便可以直接在對應的服務器主機上對oldboy進行sudo授權。
2）對用戶操作進行記錄審計，jumpserver可以對所有在其登錄的普通用戶進行審計定責，會自動記錄用戶的操作全過程，包括歷史命令、文件上傳下載的記錄和錄制，更有效的為企業(yè)提供良好的辦公環(huán)境和個人獎罰分明的有效依據(jù)。
3）可以實現(xiàn)批量管理功能，類似于ansible軟件。
4）資產(chǎn)統(tǒng)計記錄功能，jumpserver可以簡單的統(tǒng)計和展示服務器主機的基本參數(shù)，如CPU、廠商、操作系統(tǒng)等。

二、jumpserver堡壘機部署過程

1.安裝的兩種方式

1）官方網(wǎng)站安裝指南：
官網(wǎng)地址：http://www.jumpserver.org
需要docker容器進行安裝
2）簡單安裝
通過python環(huán)境準備直接進行安裝

2.簡單安裝

第一個里程: 環(huán)境準備

1）關閉防火墻和selinux
2）安裝jumpserver所需軟件信息
yum -y install epel-release（也可以通過更新阿里云鏡像站會自動生成）
yum -y install git python-pip mysql-devel mariadb-server gcc automake autoconf python-devel vim sshpass lrzsz readline-devel
安裝各環(huán)境作用：
git：主要是對開發(fā)人員編寫的大量代碼進行管理，進行標識和存儲，提供代碼版本控制的服務，而針對運維人員主要則是在進行代碼上線時進行代碼獲取的操作。
python-pip：主要是對python環(huán)境下軟件的下載及安裝，類似于與yum安裝的操作，但是pip只針對python開發(fā)出的軟件服務，yum則主要針對的是centos系統(tǒng)中Base源。
MySQL-devel：該軟件為數(shù)據(jù)庫的依賴包，但由于centos7中安裝MySQL的依賴包時會自動安裝mariadb的依賴包，所以需在服務器上直接安裝mariadb-server。
gcc：為C語言的解釋器。
automake/autoconf：此兩項服務均為C語言程序的編譯及配置軟件。
python-devel：python編程軟件的依賴包，jumpserver既是依據(jù)python語言開發(fā)出的開源軟件。
vim/sshpass/lrzsz：分別為文件編輯工具/遠程連接服務時可以使用明文密碼進行連接的命令/上傳大型文件的軟件包
readline-devel：進入python界面后的補全功能解釋器

第二個里程: 下載jumpserver堡壘機

cd /opt
在下載jumpserver后，會默認在此目錄尋找相關腳本及參數(shù)
git clone https://git.coding.net/jumpserver/jumpserver.git
通過git克隆從相關網(wǎng)站將文件或安裝包直接克隆到服務器主機上，https://git.coding.net/jumpserver/jumpserver.git為國內(nèi)git存儲代碼的服務器網(wǎng)址

第三個里程: 進入jumpsever目錄中install目錄中啟動堡壘機

1）更新pip源 (更改為aliyun)

mkdir ~/.pip/
vim ~/.pip/pip.conf
[global]
index-url = https://mirrors.aliyun.com/pypi/simple/
    
[install]
trusted-host=mirrors.aliyun.com

2）需要安裝python依賴軟件
pip install -r requirements.txt
3）進行軟件初始化過程:
開啟數(shù)據(jù)庫服務：systemctl start mariadb.service
啟動python初始化腳本：python /jumpserver/install/install.py

image.png

確認堡壘機服務器主機地址

image.png

建議直接在本地新建數(shù)據(jù)庫服務，從而省去手動配置的麻煩，再將本地數(shù)據(jù)庫遷移至數(shù)據(jù)庫服務器上即可

image.png

輸入郵箱發(fā)送地址，如163即smtp.163.com；端口號默認；賬戶為自己接收郵件的郵箱；密碼為授權碼，當郵件確認收到后方可進行下一步，如沒收到郵件則證明初始化失敗

image.png

繼續(xù)安裝即可，當安裝出現(xiàn)以下報錯時，按方法信息解決，原因為安裝的python環(huán)境版本非默認版本

image.png

設置超級管理員用戶民及登錄密碼，看到此頁面代表初始化完成。
4）jumpserver服務沒有啟動成功:
/opt/jumpserver/service.sh start
/opt/jumpserver/service.sh stop
5）如啟動堡壘機失敗執(zhí)行以下命令
python /opt/jumpserver/manage.py runserver 0.0.0.0:80 &>> /tmp/jumpserver.log 2>&1 &
python /opt/jumpserver/run_websocket.py &> /dev/null 2>&1 &

三、jumpserver軟件配置過程:

在web端輸入IP地址進入能錄界面，并用超級管理員用戶進行登錄

image.png

用戶管理配置: 配置有哪些用戶可以使用堡壘機訪問服務器

添加普通用戶，勾選發(fā)送郵件用于接受密碼信息，當收到郵件時證明添加成功

image.png

資產(chǎn)管理配置: 配置通過堡壘機可以管理哪些服務器

添加普通用戶管理資產(chǎn)

image.png

注意事項：①.管理用戶必須為服務器主機上存在的真實用戶，此管理用戶為當系統(tǒng)用戶出現(xiàn)一些操作失誤或者權限不足時，使用此管理賬戶進行解決，生產(chǎn)環(huán)境中處于安全考慮，建議創(chuàng)建admin用戶而非root用戶，在虛擬主機再對admin進行相關授權。②.設置多個資產(chǎn)時，若管理用戶均為一個用戶，可在設置中對其進行設定，在添加資產(chǎn)時點擊默認即可

image.png

授權管理配置:

sudo配置: 設置指定提權命令信息

image.png

給普通用戶登錄到服務器主機的系統(tǒng)用戶的權限進行管理，根據(jù)不同用戶職責直接進行visudo的授權，集中管理

系統(tǒng)用戶：

ps：堡壘機中涉及的用戶的相關功能

image.png

如同所示，jumpserver中主要涉及三個用戶信息，分別為普通用戶、默認管理用戶和系統(tǒng)用戶；其中普通用戶就是在用戶管理板塊進行添加的用戶，用于登錄堡壘機的用戶；系統(tǒng)用戶則是普通用戶通過堡壘機連接到服務器主機的普通用戶，這里簡單說以下就是，在jumpserver中不同的普通用戶可以通過堡壘機連接到同一個系統(tǒng)用戶來管理服務器主機；最后默認管理用戶則是管理員通過堡壘機連接到服務器主機的用戶，主要目的是操作一些系統(tǒng)用戶沒去權限操作的項目，而使用admin不使用root是為了更具有安全性。