这篇文章就接着上篇安装Jumpserver文章的基础上操作了,会安装也是要会使用的,这篇文章我们就来讲讲Jumpserver的用户及资产的管理,还有命令的过滤器的使用。
1、用户与资产管理
在企业中使用jumpserver时,一般都是需要添加不同管理组和用户来对不同的服务器来进行统一的管理。
1.1、创建管理用户
在企业中是有运维、开发与测试的,在这里我就创建三个账号了tom(开发)、star(运维)、test(测试)用户来管理。 创建用户页面说明:
- 账户模块:带星号为必填选项,就主要填账号的一些信息;
- 认证模块:密码策略可选择邮件发送随机密码,也可手动指定用户密码;MFA多因子认证一般不需要开启;来源选择数据库,将JumpServer用户放在数据库中;
- 安全模块:系统角色可选择要添加的用户类型;失效日期默认为70年,一般建议改为用户的合同有效期,比如两年或者三年之内。
1.2、创建用户组
把服务器来进行分组管理,让一个用户组管理一些。
1.3、管理用户登陆
打开另一个浏览器,在次访问jumpserver服务器绑定的域名或者IP,即可使用刚刚创建的用户进行登陆,只能开到一些基本的信息,开到这些信息是可以修改的。但是当点击右侧的Web终端时,发现里面啥都没有,这时就需要使用管理员账号去针对不用的管理用户来进行资产的分配。
1.4、添加资产
1.4.1、创建系统用户
添加资产时,我们需要提前创建好系统用户,系统用户是JumpServer登录资产时使用的账号,如root ssh root@host
,而不是使用该用户名登录资产(ssh admin@host)`,系统用户又包括普通用户和特权用户。
创建普通用户:
创建特权用户:
1.4.2、添加节点
创建自己定义的节点并命名。
1.4.3、添加资产
1.4.4、资产授权
添加资产完后,还需要对资产进行授权,需要点击右边菜单栏中的权限管理中的资产授权,选择相应的分组或者选择分组中的主机来进行授权。
1.5、使用管理用户登陆验证
刚刚上面是对开发授权了,开发账号是使用的tom用户登陆,点击web终端即可显示可以使用的资产,并可以使用资产授权部分的普通用户zg登陆使用。
2、命令的过滤器使用
在企业中基于安全着想,有时候我们会需要禁用一些用户执行指定命令,例如rm、reboot、init和poweroff等。
2.1、给tom特权用户授权
在以上的用户与资产管理中,我是让tom以普通用户zg来进行登录node3主机的,所以很多操作默认是无法执行的,但是在企业中,有时是要给到管理用户的root权限,例如再将node5服务器的root权限给到tom。
2.2、默认的特权用户授权
没设置时tom是可以进行任何操作的,重启、创建文件目录与删除都是可以的。
2.3、添加命令过滤器
如果不对一些用户添加限制的话,虽然jumpserver自带视频录像功能,毕竟有时候也会因操作人员的疏忽发生误操作,为了避免这类情况出现,这时就需要用到命令过滤器。
2.3.1、创建命令过滤器
这里关联是可以关联用户、用户组、资产、应用、系统用户都是可以的。
2.3.2、创建过滤器规则
2.3.3、测试过滤器是否生效
使用另一个浏览器登陆tom的管理用户,如果刚刚登陆了的话是需要退出登陆重新登陆的,这事虽然是使用的特权用户登陆的,但是你执行rm、reboot、init、poweroff操作时显示是命令被禁止。 注意: 这里的命令过滤是只是在jumpserver上有用,在实际的服务器上操作还是可以正常操作的,这里一定要注意,不要以为在jumpserver上特权用户root设置了,但是在实际服务器中是不生效的,这是两个身份。