(一)跳板机:

(1)区别:

①跳板机:仅仅是个跳板,没有额外的审计功能




②堡垒机:跳板+审计




③常用跳板机的选择:

jumpserver的使用_普通用户




④jumpserver的架构:

jumpserver的使用_redis_02




(2)部署:

①下载软件和部署:{安装jumpserver的机器不要和安装ansible的机器放在一起,因为jumpserver上有内置的ansible}

1、进入opt目录

root@e303-master ~]# cd /opt/



2、下载软件:

[root@e303-master opt]# wget https:///jumpserver/installer/releases/download/v2.21.3/jumpserver-installer-v2.21.3.tar.gz

[root@e303-master opt]# tar -xf jumpserver-installer-v2.21.3.tar.gz

[root@e303-master jumpserver-installer-v2.21.3]# pwd

/opt/jumpserver-installer-v2.21.3



3、执行安装:

[root@e303-master jumpserver-installer-v2.21.3]# ./ install

>>> Install and Configure JumpServer


Do you need custom persistent store, will use the default directory /opt/jumpserver? (y/n) (default n): complete //回车

3. Configure MySQL

Do you want to use external MySQL? (y/n) (default n): n //输入n

complete


4. Configure Redis

Do you want to use external Redis? (y/n) (default n): n //输入n

complete


5. Configure External Port

Do you need to customize the JumpServer external port? (y/n) (default n): n //输入n

complete

6. Init JumpServer Database

Creating network "jms_net" with driver "bridge"

Creating jms_mysql ...

Creating jms_redis ...



4、最后提示步骤:{提示开关重启等操作}

>>> The Installation is Complete

1. You can use the following command to start, and then visit

cd /opt/jumpserver-installer-v2.21.3

./ start


2. Other management commands

./ stop

./ restart

./ backup

./ upgrade

For more commands, you can enter ./ --help to understand



5、登录的各个页面:

3. Web access

​http://172.18.152.50:80​

Default username: admin Default password: admin


4. SSH/SFTP access

ssh -p2222 admin@172.18.152.50

sftp -P2222 admin@172.18.152.50


5. More information

Official Website: https://www.jumpserver.org/

Documentation: https://docs.jumpserver.org/

[root@e303-master jumpserver-installer-v2.21.3]#



6、启动:

[root@e303-master jumpserver-installer-v2.21.3]# ./ start


[root@e303-master jumpserver-installer-v2.21.3]# ./ status

Name Command State Ports

--------------------------------------------------------------------------------------------------------------------------------------

jms_celery ./ start task Up (health: starting) 8070/tcp, 8080/tcp

jms_core ./ start web Up (healthy) 8070/tcp, 8080/tcp

jms_koko ./ Up (healthy) 0.0.0.0:2222->2222/tcp,:::2222->2222/tcp, 5000/tcp

jms_lion ./ Up (health: starting) 4822/tcp

jms_magnus ./ Up (healthy) 0.0.0.0:33060->33060/tcp,:::33060->33060/tcp,

0.0.0.0:33061->33061/tcp,:::33061->33061/tcp, 54320/tcp

jms_mysql docker- --cha ... Up (healthy) 3306/tcp, 33060/tcp

jms_redis docker- redis ... Up (healthy) 6379/tcp

jms_web /docker- ngin ... Up (healthy) 0.0.0.0:80->80/tcp,:::80->80/tcp

[root@e303-master jumpserver-installer-v2.21.3]#



7、登录:

​http://172.18.152.50/​




②jumpserver的目录结构:1、opt目录下的配置:

[root@e303-master opt]# ll

drwx--x--x 4 root root 28 May 31 20:51 containerd

drwx------ 10 root root 109 May 31 21:20 jumpserver //数据文件


drwxr-xr-x 8 root root 242 May 31 20:51 jumpserver-installer-v2.21.3 //只在安装的时候使用,并且就使用 脚本

[root@e303-master opt]#



2、jumpserver目录下的配置:

[root@e303-master jumpserver]# ls -l

drwx------ 8 root root 102 May 31 21:07 config

drwxr-xr-x 4 root root 30 May 31 21:08 core

drwxr-xr-x 3 root root 18 May 31 21:20 koko

drwxr-xr-x 3 root root 18 May 31 21:20 lion

drwxr-xr-x 3 root root 18 May 31 21:20 magnus

drwxr-xr-x 3 root root 18 May 31 21:07 mysql

drwxr-xr-x 3 root root 18 May 31 21:20 nginx

drwxr-xr-x 3 root root 18 May 31 21:07 redis

[root@e303-master jumpserver]# pwd

/opt/jumpserver

[root@e303-master jumpserver]#



②添加用户:

1、管理用户:被管理的资产上的root或者具有sudo权限的用户,管理员使用



2、系统用户:被管理服务器普通用户,普通用户登录服务,连接资产等



3、普通用户:用于登录jms用户,对jms进行操作






(二)资产:

(1)资产概述:

①概述:

1、资产是指被管理的机器、服务器、服务等





(2)资产分类:{资源按照功能或者区域等进行划分}

jumpserver的使用_redis_03

①功能:

1、slb



2、web



3、date




②区域:

1、北京



2、杭州




③环境:

1、测试



2、线上





(3)添加用户:

①添加特权用户:

1、选择资产-系统用户-特权用户:

jumpserver的使用_redis_04



2、写入root对应的信息:

jumpserver的使用_redis_05



3、点击最后提交,就添加完成了:{如果不同资产的root密码不同可以创建多个特权用户,或者时候使用秘钥认证}




②添加系统用户:{这个用户不需要手工去添加},是jumpserver通过 ansible推送的

1、创建系统用户:

jumpserver的使用_redis_06



2、设置系统用户的权限等信息:{可以添加sudo权限}

jumpserver的使用_普通用户_07


3、最后提交:{这个系统用户没有和任何资产关联}





(3)创建组:{这个是web页面登录到jumpserver的用户}

①创建组:

jumpserver的使用_redis_08




②创建用户:

1、用户列表-创建:

jumpserver的使用_mysql_09



2、设置账户的信息:

jumpserver的使用_redis_10

jumpserver的使用_redis_11





(4)添加资产:

①添加某标签资产:

1、在标签下面创建资产:

jumpserver的使用_mysql_12



2、在创建机器信息:

jumpserver的使用_普通用户_13




②资产授权:{普通用户、系统用户等资产进行关联}

jumpserver的使用_redis_14




③账户推送:资源管理-系统用户-资产列表-推送系统用户





(5)审计:{查看用户的操作记录}

①会话审计:

jumpserver的使用_redis_15




(6)数据库的管理:

①创建数据库:

jumpserver的使用_redis_16




②创建系统用户:资产管理-系统用户-创建普通用户





③权限管理:应用授权-创建-选择用户组-关联到用户





(7)资产管理:{命令过滤器}

①创建命令过滤器的名字:

jumpserver的使用_mysql_17




②点击创建的过滤器的名字:

jumpserver的使用_普通用户_18




③点击创建:{创建具体的名字}

jumpserver的使用_mysql_19





(8)多因子登录:

①登录某个用户开启:

jumpserver的使用_普通用户_20




②绑定MFA验证器:






(三)网域:

(1)概述:

①网域说明:

1、网域功能是为了解决部分环境(如:混合云)无法直接连接而新增的功能,原理是通过网关服务器进行跳转登录。JMS => 网域网关 => 目标资产





(2)网域创建:

①先创建网域:

1、先创建网域的名字:

jumpserver的使用_mysql_21



2、点击网关下面的0:

jumpserver的使用_普通用户_22



3、点击创建网关:

jumpserver的使用_redis_23



4、填写网关的信息:{这里不能写一个root用户,不然会失败,只能是一个普通用户}

jumpserver的使用_redis_24




③将资产关联到网域:{这里写私网ip就行,因为会跳转到这些资产的公网的那个机器上进行管理}

jumpserver的使用_redis_25






(四)ldap:

(1)概述:

①说明:

1、统一授权管理,只需要一个用户就可以管理各种产品,服务,也叫活动目录,很多产品有很多账户,而ldap就可以统一注册,使用一个用户即可



2、开源:openldap



3、windows:ad