相关内容原文地址:
xiaohuzi :jumpserver软件web界面配置
JumpServer官方文档:Jumpserver 文档
云栖社区:apache:基于Docker搭建Jumpserver堡垒机操作实践
CSDN:赵雷-Nathanial:堡垒机操作
CSDN:狂飙的yellowcong:Jumpserver之系统用户(第三节)-yellowcong
简书:螃蟹和骆驼先生Yvan:docker安装堡垒机Jumpserver 1.4.4版本,我来手把手教你使用
关于跳板机/堡垒机的介绍:
跳板机使用场景:
docker pull registry.jumpserver.org/public/jumpserver:1.0.0
docker run --name jms_server -d -p 8011:80 -p 2222:2222 registry.jumpserver.org/public/jumpserver:1.0.0
也可设置启动脚本:
docker stop jms && docker rm jms
docker run --name jms \
-p : \
-p : \
-v /root/jumpserver/jms_data:/data \
-v /etc/localtime:/etc/localtime:ro \
-e USE_MYSQL= \
-e MYSQL_ENGINE=mysql \
-e MYSQL_HOST=192.168.137.129\
-e MYSQL_PORT= \
-e MYSQL_USER=jumpdb \
-e MYSQL_PASS=jumppasswd \
-e MYSQL_NAME=jumpdb \
-e USE_MAIL=true \
-e MAIL_ENABLED= \
-e MAIL_HOST=smtp..com \
-e MAIL_PORT= \
-e MAIL_USER=@.com \
-e MAIL_PASS='88888=' \
-e MAIL_USE_TLS=False \
-e MAIL_USE_SSL=False \
--restart=always \
-d jumpserver:
docker exec -ti jms /bin/sh /data/script/input_ip.sh
建议采用官网安装步骤安装:
使用 root 身份输入
环境迁移和更新升级请检查 SECRET_KEY 是否与之前设置一致, 不能随机生成, 否则数据库所有加密的字段均无法解密
$ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50
; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
$ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16
; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
$ docker run --name jms_all -d -p 80:80 -p 2222:2222 -e SECRET_KEY=$SECRET_KEY -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN jumpserver/jms_all:latest
访问:
浏览器访问: http://<容器所在服务器IP>
SSH 访问: ssh -p 2222 <容器所在服务器IP>
XShell 等工具请添加 connection 连接, 默认 ssh 端口 2222
默认管理员账户 admin 密码 admin
初始账号密码为:admin
添加资产的前提条件是有一个管理用户,这个管理用户是资产的最高权限账户,堡垒机之后会使用此账户来登录并管理资产,和获取一些统计信息。
管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, Jumpserver 使用该用户来 推送系统用户
、获取资产硬件信息
等。
资产管理->管理用户列表中点击创建系统用户按钮,便来到了创建管理用户的页面,如下图所示:
资产管理->资产列表->创建资产:
情景描述:假如我在A服务器搭建了Jumpserver,然后我想通过A搭建的Jumpserver服务器管理其他B、C、D等服务器,该如何操作。
我们知道,所谓管理用户,就类似于root用户或者nopassword的用户,并且拥有最高权限的用户。
对于系统用户,则是我们使用Jumpserver连接Web终端后,连接时所用的用户。比如:jumpserver。
那么我使用Web终端连接服务器后,查看当前用户,显示的则为Jumpserver。whoami
然后可切换至root用户。su root
在资产管理里面,配置想要管理的资产信息,若配置成功,则会更新相对应的硬件信息。
到这一步后,尽管我们看到了其他服务器如B、C、D等,但是通过Web终端无法直接访问,我们需要进行资产授权,进行资产授权时,我们需要去被管理服务器安装koko。
这里给个直接Docker一键安装koko的命令。
docker run --name jms_koko -d -p 2222:2222 -p 127.0.0.1:5000:5000 -e CORE_HOST=http://ip:8081 -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN wojiushixiaobai/jms_koko
BOOTSTRAP_TOKEN 为63服务器上生成的秘钥。
运行成功后,资产授权成功,则可以通过Web终端访问。
使用场景:在很多个目标资产中创建一个普通账户。
系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(ssh web@some-host
),而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host
); 简单来说是用户使用自己的用户名登录 Jumpserver,Jumpserver 使用系统用户登录资产。 系统用户创建时,如果选择了自动推送,Jumpserver 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。
通过堡垒机上的系统用户管理来创建一个系统用户;然后下发到目标资产中,这样一来就不需要去目标主机一个个登录然后去创建。
sudo 权限控制,常用:
ALL,!/bin/bash,!/bin/tcsh,!/bin/su,!/usr/bin/passwd,!/usr/bin/passwd root,!/bin/vim /etc/sudoers,!/usr/bin/vim /etc/sudoers,!/usr/sbin/visudo,!/usr/bin/sudo -i,!/bin/bi /etc/ssh/*,!/bin/chmod 777 /etc/*,!/bin/chmod 777 *,!/bin/chmod 777,!/bin/chmod -R 777 *,!/bin/rm /*,!/bin/rm /,!/bin/rm -rf /,!/bin/rm -rf /*,!/bin/rm /etc,!/bin/rm -r /etc,!/bin/rm -rf /etc,!/bin/rm /etc/*,!/bin/rm -r /etc/*,!/bin/rm -rf /etc/*,!/bin/rm /root,!/bin/rm -r /root,!/bin/rm -rf /root,!/bin/rm /root/*,!/bin/rm -r /root/*,!/bin/rm -rf /root/*,!/bin/rm /bin,!/bin/rm -r /bin,!/bin/rm -rf /bin,!/bin/rm /bin/*,!/bin/rm -r /bin/*,!/bin/rm -rf /bin/*
连接测试的目的是检查资产是否可以被堡垒机所访问,可以在资产列表点击资产名称,便可以进入资产详情页面,右侧有两个按钮,点击刷新按钮,正确配置的参考效果如下图所示:
如果能看到左侧的硬件信息发生了变更,就代表此前配置的管理用户没有问题,否则会弹出错误提示框。
当配置资产后,如果想在堡垒机中直接连接终端就还需要给用户授权,授权分为两个步骤,第一步是给web终端账户授权,在会话管理->终端管理,如下图所示:
第二步则是给用户自己本身授权,在授权管理->资产权限->创建权限规则中做好相应配置,如下图所示:
当给用户授权之后,用户便可以会话管理->Web终端中与系统进行交互,如下图所示:
配置好管理用户、系统用户、资产也授权完成后,我的Web终端进入后,每次都是如下现象:
什么也没有反应。
因为是通过docker容器一键部署的,然后进入到容器内部,查看koko的logs,有如下错误信息。
[ERRO] Post http://127.0.0.1:8080/api/v2/terminal/terminal-registrations/: net/http: request canceled (Client.Timeout exceeded while awaiting headers)
2020-02-12 11:23:38 [ERRO] register access key failed
经咨询相关开发者后,给出的建议,重新注册组件,然后去看FAQ文档。
找到具体的错误原因,然后按照教程,重新注册,会出现如下错误:
[ERRO] POST http://127.0.0.1:8080/api/v2/terminal/terminal-registrations/ failed, get code: 400, {"name":["名称重复"]}
与FAQ文档描述一致。
按照FAQ文档说明,执行如下操作:
vi /opt/kokodir/config.yml
然后修改:
# 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
# NAME: {{ Hostname }}
NAME: koko01 # 把 koko01 换成你想要的名字
然后重启koko,即可。
./koko
至此结束,如果是在docker年内部进行修改完成,则修改完config.yml文件后,退出重启,重启下容器即可成功解决。
最后 ,效果图如下:
通过在线会话功能来查看当前有哪些用户在操作终端,在会话管理->在线会话列表中进行查看,如下图所示:
如果想知道某个用户在系统中执行了那些命令,可以很方便的在会话管理->命令记录中进行查看,如下图所示:
手机扫一扫
移动阅读更方便
你可能感兴趣的文章