什麼是堡壘機

在特定網路環境下，為了保障網路和資料不受外界入侵和破壞，而運用各種技術手段，實時收集和監控網路環境中的每一個組成部分的系統狀態、安全事件、網路活動，以便集中報警、及時處理及審計定責。

我們又把堡壘機叫做跳板機。簡易的跳板機功能簡單，主要核心功能是遠端登入伺服器和日誌審計。堡壘機還可以用來做資產管理、監控、使用者授權等。

一 安裝部署 - JumpServer

https://docs.jumpserver.org/zh/v2.17.0/install/setup_by_fast/

一鍵部署或者離線部署

一鍵部署：（有網的情況下）

# 預設會安裝到 /opt/jumpserver-installer-v2.17.0 目錄

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash

離線部署：

從飛致雲社群下載最新的 linux/amd64 離線包

cd /opt
tar -xf jumpserver-offline-installer-v2.17.0-amd64-81.tar.gz
cd jumpserver-offline-installer-v2.17.0-amd64-81

# 安裝
./jmsctl.sh install

# 啟動
./jmsctl.sh start

完成後用IP進入到網頁中

使用者名稱和密碼都是 admin (也可以重設一下密碼)

出現該介面，即為搭建成功。

二 基礎環境配置

1.關閉防火牆

#systemctl stop firewalld              關閉防火牆
#systemctl disable firewalld           禁止開機自啟
#setenforce 0                          臨時關閉selinux
#sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config      永久關閉selinux
#yum install vim net-tools -y          安裝需要使用的工具
 

2.進入管理終端

在搭建堡壘機的伺服器裡輸入以下命令

ssh -p 2222 [email protected]
#ssh    登入協議
#-p        選擇登入埠，jumpserver登入埠為2222
#[email protected]        #終端使用者名稱為admin,IP為本地IP127.0.0.1
#登入密碼為你jumpserver登入密碼

出現該介面即登入成功。jumpserver完整的搭建成功

3.給管理終端設定ssh免密登入

我們可以通過配置ssh祕鑰來進行免密登入，輸入以下命令：

ssh-keygen       #生成ssh祕鑰，公鑰。生成在/root/.ssh/下

cat /root/.ssh/id_rsa.pub    #檢視公鑰
#將複製的公鑰貼上到指定位置

三 使用者管理

這個使用者是用來登入Jumpserver堡壘機的。

1.建立一個普通使用者

使用者管理-使用者列表-建立

賬戶除了使用者組暫時不用填 認證——密碼策略——設定密碼

然後提交即可

2.資產管理

資產管理——系統使用者——特權使用者——建立

普通使用者和特權使用者的區別：普通使用者不是root管理員賬號，而特權使用者是。特權使用者可以獲得虛擬機器的一些資訊等。

設定名稱——選擇檔案

ssh-keygen -f jumpserver2    #在當前目錄下，生成jumpserver2的公鑰私鑰。

然後在xftp中，將創立的私鑰拉出來

選擇檔案——選中jumpserver2並且上傳——提交

3.建立資產

此時就要開始繫結伺服器/虛擬機器了。

右鍵Default——建立節點——進入新建立的節點——建立

注意：虛擬機器名不需要和主機名一樣，虛擬機器名不需要和主機名一樣

出現下面介面即建立資產成功(建立成功，但是並沒有進行繫結)

4.繫結資產

設定linux名稱——新增使用者——設定使用者密碼——visudo

ssh-copy-id -i jumpserver2.pub [email protected]
#複製ssh到[email protected]

然後就繫結成功了，不過需要進行測試。

四 許可權管理

1.建立普通使用者

資產管理——系統使用者——普通使用者——建立——ssh

建立普通使用者，使用者名稱和密碼寫你虛擬機器的。

許可權管理——資產授權——建立

2.設定普通使用者

開啟自動推送

3.管理頁面

web終端：

檔案管理：

五 身份認證

1.建立使用者

使用者管理——使用者列表——建立

多建立幾個使用者，用來分配給使用者組。多建立幾個系統審計員和使用者

2.建立使用者組

然後提交

3.使用者許可權說明

• 普通使用者許可權：就是用來操作資產的普通使用者，無法檢視儀表盤，日誌等操作介面。

• 普通使用者的介面：普通使用者只有一個使用者介面。因為前面我們給使用者分配了資產，所以這裡“我的資產”中有機器。批量命名/web終端/檔案管理均可使用。前提是管理員分配了資產。

• 審計員許可權：擁有普通使用者的許可權，並且可以檢視日誌儀表盤等介面。

• 審計員使用者介面：和管理員一樣，他們也有兩個介面，一個管理介面一個使用者介面