JumpServer堡垒机介绍

大家都接触过很多安全设备,在Linux生产环境运维管理中,常用的安全设备是堡垒机。下面来了解一下堡垒机的安装和使用。市面上好多商业化的物理设备堡垒机,目前没有接触,幸好有有开源的堡垒机 --Jumpserver 。今天安装测试一下。

什么是堡垒机呢?堡垒机,就是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。

简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),也就是服务器,以及录像记录登录资产后做了什么事情(事后溯源.)。

堡垒机也叫做运维安全审计系统,它的核心功能是 4A:

  1. 身份验证 Authentication
  2. 账号管理 Account
  3. 授权控制 Authorization
  4. 安全审计 Audit

堡垒机分为商业堡垒机和开源堡垒,开源软件毫无疑问将是未来的主流。Jumpserver 是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统,GitHub Star 数超过 1.4 万(2020-11-23),Star 趋势就可以看出其受欢迎程度。

JumpServer部署

官方文档中有快速安装和分布式安装,分布式安装非常复杂,需要专业运维知识,这里为了学习JumpServer,只是简单安装一下即可。

前提:

全新安装的 Centos7 (7.x)
需要连接 互联网
使用 root 用户执行

我们先来看一下一键急速安装命令(注意配置不能小于2核4G):

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.5.0/quick_start.sh | sh

安装完启动:

/opt/setuptools/jmsctl.sh start

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维

速度可能有些慢,多等一会。安装视频地址:

https://www.bilibili.com/video/bv19a4y1i7i9

web端默认端口 80 ,ssh默认端口2222,默认账号 :admin/admin

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_02

登录成功后,可以看到:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_03

其它关于安装的维护内容,参考官方文档。这里不具体介绍。

JumpServer功能

1、创建用户

首先点击菜单创建普通用户:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_04

填写资料,提交:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_05

系统角色选择普通用户,密码选择直接设置,保存。

2、用户组

点击按钮,添加用户组:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_06

填写组名,选择刚才添加的用户,然后保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_07

下面使用新建的用户test1登录:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_08

进来以后,首先完善个人信息,然后点击同意,提交保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_09

完成以后可以看到,普通用户的菜单只能看到四个菜单,我的资产,我的应用,命令执行,文件管理。现在里面没有任何内容。

3、资产用户

资产就是Linux服务器或者虚拟机,资产管理用也有系统用户和管理用户,也就是Linux本身的用户。

创建系统用户, 此用户用于推送到后端服务器自动创建为Linux用户。 

如果此账户已经存在于后端服务器则不会再重新创建, 而是直接使用。 

后期jumpserver 的普通账户(test1)会使用此账户登陆并管理资产信息(普通用户如开发者主要是查看),推荐的账户名称: mysql nginx tomcat www web。

点击菜单创建资产系统用户:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_10

填写系统用户资料,保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_11

 

资产管理, 创建管理用户, 该管理用户用于 jumpserver 登陆服务器统计资产信息以及推送系统用户的时候使用, 所以此用户一定是一个可以登录的具备超级权限的用户(如后端服务器的 root 账户或者具有 root 权限的其他用户)。

点击菜单创建资产管理用户:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_12

填写资料,保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_13

 

4、资产管理

资产就是物理机 虚拟机等。点击菜单,创建资产:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_14

填写系统资料,保存。

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_15

添加完,如果资料正确,连接成功,可以看到资产状态:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_16

点击主机名:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_17

测试资产可连接性:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_18

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_19

测试结果为ok:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_20

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_21

 

5、授权管理

将资产授权给某个账户:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_22

填写资料,选择用户和服务器,保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_23

授权完成后,用被授权的test1用户登录,可以看到授权的资源:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_网络_24

点击最右侧的按钮,进入终端命令行:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_网络_25

会直接打开一个新的浏览器窗口,看到终端:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_26

登录用户也是刚才创建的资产系统用户web,这是JumpServer自动创建的。

6、资产分组

右键点击资产菜单,创建分组:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_27

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_28

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_29

输入名字后保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_30

更新节点到web分组:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_31

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_32

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_33

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_34

保存,点击web分组,可以看到web1资产:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_35

7、会话管理

会话管理-命令记录、历史会话里面可以看到用户操作过并且已经退出的录像记录。

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_36

8、命令过滤

基于安全考虑,禁止某些用户执行指定的命令, 如 rm、 reboot、 poweroff 等命令。点击命令过滤,创建按钮:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_网络_37

输入名称,保存:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_网络_38

创建完成后,点击名称:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_linux_39

选择命令过滤器规则,点击创建:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_40

创建规则下,禁用哪些命令:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_41

点击保存,关联用户,点击添加:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_42

web用户登录时,就会禁用这些命令。

创建资产管理系统用户的时候,也可以顺便添加过滤器:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_网络_43

过滤器创建完成后,登录test1用户,测试一下:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_44

9、登录日志

可以查看登录日志,查看哪个用户登录过,便于追踪。

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_服务器_45

10、其它

管理员登录欢迎页面,可以看到最近活动的仪表盘:

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_堡垒机_46

jumpserver堡垒机docker部署教程 jumpserver堡垒机功能_运维_47