堡垒机介绍
在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各类技术手段实时收集和监控网络环境中每个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 咱们又把堡垒机叫作跳板机,简易的跳板机功能简单,主要核心功能是远程登陆服务器和日志审计。 比较优秀的开源软件jumpserver,认证、受权、审计、自动化、资产管理。 商业堡垒机:齐治, Citrix XenApppython
开源堡垒机jumpserver介绍
- 官网www.jumpserver.org
- Jumpserver是一款使用Python, Django开发的开源跳板机系统, 助力互联网企业高效 用户、资产、权限、审计 管理
- Auth 统一认证
- CMDB 资产管理
- 统一受权
- 日志审计
- 自动化运维(ansible)
- 最新版v0.4.0,基于python3.6, django 1.11,目前还未开发完成,因此咱们接下来将要安装v0.3.2
Jumpserver安装(0.4.0)
yum install -y docker //首先安装docker systemctl enable docker systemctl start docker //启动docker服务 curl -L https://github.com/docker/compose/releases/download/1.17.0-rc1/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose //安装docker-compose chmod 755 /usr/local/bin/docker-compose git clone https://github.com/jumpserver/jumpserver.git //下载jumpserver源码 cd jumpserver 配置docker加速器 http://ask.apelearn.com/question/15126 检查是否有监听8080端口的服务,若是有关闭 screen//进入到一个虚拟终端 docker-compose up //使用docker-compose安装jumpserver
Jumpserver安装(0.3.2)
官方文档https://github.com/jumpserver/jumpserver/wiki/v0.3.x-%E5%9F%BA%E4%BA%8E-RedHat #安装git yum -y install git #克隆jumpserver cd /usr/local/ git clone https://github.com/jumpserver/jumpserver.git git checkout 0.3.3 注:不要安装在/root、/home 等目录下,以避免权限问题 #执行安装脚本 cd jumpserver/install python install.py #注: 安装过程当中要求输入数据库密码时,直接回车就行 完成安装后,请访问web,继续查看后续文档 若是启动失败,请返回上层目录,手动运行./service.sh restart启动 默认帐号密码 admin 5Lov@wife
Jumpserver的用户
- jumpserver用户用来登陆jumpserver(web界面、ssh登陆)
- 管理用户用来自动建立客户机上的系统用户、批量执行命令等操做
- 客户机上的系统用户,用来经过jumpserver去登陆每一台客户机的用户
Jumpserver使用
- 浏览器输入ip:8000 访问jumpserver
- 默认用户名是admin,密码是5Lov@wife
- 点击用户管理,选择用户,点击Administrator那一行右侧的更新,设置密码
- 建立用户组 运维
- 建立用户 aming
- 点击设置,默认管理用户,该用户为管理员用户,应该有sudo权限,须要在每一台客户机上建立该用户(用户名自定义,jump)
- 在一台linux机器上生成一个密钥对,用来做为该管理用户的密钥对
- 把私钥粘贴到默认密钥下面
- 在客户机上建立jump用户,并设置sudo权限,把刚刚生成的密钥对里面的公钥放到该客户机的jump用户家目录.ssh/authorized_keys文件里
- 资产管理,查看资产组,添加资产组(如,dev)
- 资产管理,查看资产,添加资产,填写各项信息
- 受权管理,系统用户,添加系统用户,该用户为咱们登陆全部客户机的用户
- 受权规则,添加规则,建立受权规则
- 普通用户的密码以及密钥下载地址、密钥密码都会经过邮件的方式发送给用户
- 浏览器登陆普通用户,能够查看有权限的主机,也能够在web界面下登陆主机、上传和下载文件
- xshell建立新的链接
- ip为jumpserver的ip,端口为22
- 用户名为普通用户名字(aming)
- 设置密钥认证
- 链接后,出现登陆页面,数据p查看全部被受权主机
- 输入主机前面的数字能够登陆到对应的主机下面