java rdp 堡垒机 jumpserver堡垒机部署_普通用户


一、jumpserver 安装部署

1、jumpserver概述

Jumpserver是一款开源的堡垒机,可使系统的管理员和开发人员安全的连接到企业内部服务器上执行操作,并且支持大部分操作系统,是一款非常安全的远程连接工具

2、常见支持的系统

CentOS, RedHat, Fedora, Amazon LinuxDebianSUSE, UbuntuFreeBSD其他ssh协议硬件设备

3、配置清单

java rdp 堡垒机 jumpserver堡垒机部署_Docker_02


4、安装部署

[root@ecs-proxy ~]# echo jumpserver > /etc/hostname
[root@ecs-proxy ~]# hostname jumpserver
[root@jumpserver ~]# cd 5/project3/jumpserver/
[root@jumpserver jumpserver]# yum install -y docker-ce	#没有配置docker的yum源,需要配置
[root@jumpserver jumpserver]# systemctl enable --now docker
[root@jumpserver jumpserver]# tar -xf jumpserver-offline-installer-v2.19.2-amd64-135.tar.gz
[root@jump-server jumpserver]# mv jumpserver-offline-installer-v2.19.2-amd64-135 /usr/local/jumpserver
[root@jumpserver jumpserver]# cd /usr/local/jumpserver
[root@jumpserver jumpserver]# ./jmsctl.sh install	#一路回车
  1. 检查配置文件 
配置文件位置: /opt/jumpserver/config

/opt/jumpserver/config/config.txt  [ √ ]

/opt/jumpserver/config/nginx/cert/server.crt   [ √ ]

/opt/jumpserver/config/nginx/cert/server.key   [ √ ]

  1. 完成
  2. 备份配置文件
    备份至 /opt/jumpserver/config/backup/config.txt.2022-08-08_13-39-16
    完成

安装配置 Docker

  1. 安装 Docker
    完成
  2. 配置 Docker
    是否需要支持 IPv6? (y/n) (默认为 n):
    完成
  3. 启动 Docker 
Created symlink from /etc/systemd/system/multi-user.target.wants/docker.service to /usr/lib/systemd/system/docker.service.

  1. 完成

加载 Docker 镜像
...
完成

安装配置 JumpServer

  1. 配置加密密钥
SECRETE_KEY:     YjYxYWMyZmUtMzI4NS00YmZhLTg1NWUtN2MwZjY1MWZhMTMw

BOOTSTRAP_TOKEN: YjYxYWMyZmUtMzI4NS00YmZh

  1. 完成
  2. 配置持久化目录
    是否需要自定义持久化存储, 默认将使用目录 /opt/jumpserver? (y/n) (默认为 n):
    完成
  3. 配置 MySQL
    是否使用外部 MySQL? (y/n) (默认为 n):
    完成
  4. 配置 Redis
    是否使用外部 Redis? (y/n) (默认为 n):
    完成
  5. 配置对外端口
    是否需要配置 JumpServer 对外访问端口? (y/n) (默认为 n):
    完成
  6. 初始化数据库 
Creating network "jms_net" with driver "bridge"

Creating jms_redis ... done

Creating jms_mysql ... done

Creating jms_core  ... done

2022-08-08 13:42:07 Collect static files

2022-08-08 13:42:07 Collect static files done

2022-08-08 13:42:07 Check database structure change ...

2022-08-08 13:42:07 Migrate model change to database ...

Operations to perform:

Apply all migrations: acls, admin, applications, assets, audits, auth, authentication, captcha, common, contenttypes, django_cas_ng, django_celery_beat, jms_oidc_rp, notifications, ops, orgs, perms, sessions, settings, terminal, tickets, users

Running migrations:

Applying contenttypes.0001_initial... OK

......

Applying users.0038_auto_20211209_1140... OK

  1. 完成

安装完成了

  1. 可以使用如下命令启动, 然后访问
    cd /usr/local/jumpserver
    ./jmsctl.sh start
  2. 其它一些管理命令
    ./jmsctl.sh stop
    ./jmsctl.sh restart
    ./jmsctl.sh backup
    ./jmsctl.sh upgrade
    更多还有一些命令, 你可以 ./jmsctl.sh --help 来了解
  3. Web 访问
    http://192.168.1.10:80 默认用户: admin 默认密码: admin
  4. SSH/SFTP 访问
    ssh -p2222 admin@192.168.1.10
    sftp -P2222 admin@192.168.1.10
  5. 更多信息
    我们的官网: https://www.jumpserver.org/ 我们的文档: https://docs.jumpserver.org/
[root@jumpserver jumpserver]# ./jmsctl.sh start		#启动jumpserver

jms_redis is up-to-date

jms_mysql is up-to-date

Creating jms_core ... done

Creating jms_lion   ... done

Creating jms_celery ... done

Creating jms_web    ... done

Creating jms_koko   ... done

[root@jumpserver jumpserver]# ./jmsctl.sh status #查看状态
Name Command State Ports

jms_celery   ./entrypoint.sh start task       Up (healthy)   8070/tcp, 8080/tcp

jms_core     ./entrypoint.sh start web        Up (healthy)   8070/tcp, 8080/tcp

jms_koko     ./entrypoint.sh                  Up (healthy)   0.0.0.0:2222->2222/tcp,:::2222->2222/tcp, 5000/tcpjms_lion     ./entrypoint.sh                  Up (healthy)   4822/tcp
jms_mysql    docker-entrypoint.sh --cha ...   Up (healthy)   3306/tcp, 33060/tcp
jms_redis    docker-entrypoint.sh redis ...   Up (healthy)   6379/tcp
jms_web      /docker-entrypoint.sh ngin ...   Up (healthy)   0.0.0.0:80->80/tcp,:::80->80/tcp

二、jumpserver使用

1、访问jumpserver

没有公网IP需要购买,并进行绑定才能正常访问

http://49.4.15.231

访问页面如下:用户名admin,密码admin登录,会让修改密码,使用新密码登录即可

java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_03

2、jumpserver配置用户
在jumpserver里面两种用户:

1、用户管理里面的用户:这个用户指堡垒机账号, 就是你能用这个账号登录web页面, 登录跳板机服务器的用户

2、资产管理里面的系统用户:

它又分为 特权用户 和 普通用户

特权用户: 是资产已存在的, 并且拥有 高级权限 的系统用户,如root用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等;

普通用户:是JumpServer 登录资产时使用的账号,普通用户 可以在资产上预先存在,也可以由 特权用户 来自动创建。

java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_04

java rdp 堡垒机 jumpserver堡垒机部署_Docker_05

java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_06

用户创建好之后,需要使用这个用户进行资产的管理,但是我们还没有资产。

在华为云上面模拟创建一台web机器,当做web集群(不用配置web集群),只需要把机器创建出来即可,模拟用户管理资产,

找到资产管理,点击管理用户

系统用户中的特权用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息

java rdp 堡垒机 jumpserver堡垒机部署_普通用户_07

java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_08

java rdp 堡垒机 jumpserver堡垒机部署_普通用户_09

系统用户中的普通用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,创建普通用户web,使用密码登录,自动推送选择所有权限ALL

java rdp 堡垒机 jumpserver堡垒机部署_docker_10


java rdp 堡垒机 jumpserver堡垒机部署_普通用户_11

java rdp 堡垒机 jumpserver堡垒机部署_docker_12


java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_13


java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_14


java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_15


java rdp 堡垒机 jumpserver堡垒机部署_Docker_16


java rdp 堡垒机 jumpserver堡垒机部署_docker_17


java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_18


3、测试此时退出admin管理用户,使用tedu用户登录,测试web用户的资产

java rdp 堡垒机 jumpserver堡垒机部署_Docker_19


如果jumpserver有多个用户,并且授权不同的用户管理不同的资产,此时每个用户只能看到自己的资产,别人的资产是看不到的

把下列表格中的机器添加到jumpserver中,使用k8s用户登录jumpserver,可以看到表格中相关的资产,并使用系统用户k8s可以登录资产

java rdp 堡垒机 jumpserver堡垒机部署_普通用户_20


java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_21


输入p,可以看到k8s用户管理的资产

java rdp 堡垒机 jumpserver堡垒机部署_java rdp 堡垒机_22