堡垒机jumpserver测试记录--使用

快速入门

截图就不放了，官网都有，这里只是就遇到的一些问题做下记录

阿里云相关链接

https://www.aliyun.com/product/ecs?source=5176.11533457&userCode=kv73ipbs&type=copy

必备条件

• 一台安装好 Jumpserver 系统的可用主机（堡垒机）
• 一台或多台可用的 Linux、Windows资产设备（被管理的资产）

一、系统设置

1.1 基本设置

# 修改 URL 的 localhost 为你的实际 url 地址，否则邮件收到的地址将为 localhost
修改完 url 地址后需要重启 jumpserver 服务（重启才能生效，后续会解决这个问题）

1.2 邮件设置

# 点击页面上边的"邮件设置" TAB ，进入邮件设置页面
# 配置邮件服务后，点击页面的"测试连接"按钮，如果配置正确，Jumpserver 会发送一条测试邮件到
您的 SMTP 账号邮箱里面，确定收到测试邮件后点击保存即可使用。

如果是163的邮箱，当传入发送邮箱正确的用户名和密码时，总是收到到：550 User has no permission这样的错误，其实我们用Java发送邮件时相当于自定义客户端根据用户名和密码进行登录，然后使用SMTP服务发送邮件。但新注册的163邮件默认是不开启客户端授权验证的（对自定的邮箱大师客户端默认开启），因此登录总是会被拒绝，验证没有权限。解决办法是进入163邮箱，进入邮箱中心——客户端授权密码，选择开启即可
有的用户由于开启了授权码，如果输入邮箱登录密码的话会报535 Error：authentication failed

1.3 LDAP设置

# 如果不需要使用 ldap 登陆 jumpserver，可以直接跳过，不需要设置
# 先测试通过才能保存
# DN 和 OU 一定要完整(如DN:cn=Manage,ou=Jumpserver,dc=jumpserver,ou=org)
注：可借用第三方 gui 工具查看 ldap 用户的属性，新版本已经支持中文名登录，即cn=中文也可正常使用

1.4 终端设置

# 命令记录保存到 elastic
{"default": {"TYPE":"server"}, "ali-es": {"TYPE": "elasticsearch", "HOSTS": ["http://elastic:changeme@localhost:9200"]}}

# 录像存储在 oss，Jumpserver 系统设置-终端设置 录像存储
{"default": {"TYPE": "server"}, "cn-north-1": {"TYPE": "s3", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "REGION": "cn-north-1"}, "ali-oss": {"TYPE": "oss", "BUCKET": "jumpserver", "ACCESS_KEY": "", "SECRET_KEY": "", "ENDPOINT": "http://oss-cn-hangzhou.aliyuncs.com"}}

注：修改后，需要修改在Jumpserver 会话管理-终端管理 修改terminal的配置 录像存储 命令记录，然后重启 Jumpserver 

二、创建用户

2.1 创建 Jumpserver 用户

# 点击页面左侧“用户列表”菜单下的“用户列表“，进入用户列表页面
# 点击页面左上角“创建用户”按钮，进入创建用户页面，（也可以通过右上角导入模版进行用户导入）
# 其中，用户名即 Jumpserver 登录账号（具有唯一性，不能重名）。名称为页面右上角用户标识（可重复）
# 成功提交用户信息后，Jumpserver 会发送一条设置"用户密码"的邮件到您填写的用户邮箱
# 点击邮件中的设置密码链接，设置好密码后，您就可以用户名和密码登录 Jumpserver 了。
# 用户首次登录 Jumpserver，会被要求完善用户信息，按照向导操作即可。
注：MFA 即 Google Authenticator ，使用此软件需要APP时间与浏览器时间同步

三、创建资产

3.1 创建 Linux 资产

创建资产必须要先添加管理用户（资产管理--管理用户）才可以

3.1.1编辑资产树

# 节点不能重名，右击节点可以添加、删除和重命名节点，以及进行资产相关的操作
注：如果有 linux 资产和 windows 资产，建议先建立 Linux 节点与 Windows 节点，不然授权时不好处理

此时UI状态是不能删除的，右键添加节点到资产，不创建然后关闭，后面有了括号即可删除。

3.1.2创建管理用户

（即Linux--root）

# 管理用户是资产上的 root，或拥有 NOPASSWD: ALL sudo 权限的用户，Jumpserver 使用该用
户来推送系统用户、获取资产硬件信息等

# 如果使用ssh私钥管理资产，需要先在资产上设置，这里举个例子供参考（本例登录资产使用root为例）
(1). 在资产上生成 root 账户的公钥和私钥

  $ ssh-keygen -t rsa  # 默认会输入公钥和私钥文件到 ~/.ssh 目录

(2). 将公钥输出到文件 authorized_keys 文件，并修改权限

  $ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
  $ chmod 400 ~/.ssh/authorized_keys

(3). 打开RSA验证相关设置

  $ vim /etc/ssh/sshd_config

 #RSAAuthentication yes
 #PubkeyAuthentication yes
 #AuthorizedKeysFile     .ssh/authorized_keys
----->
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

(4). 重启 ssh 服务
  $ service sshd restart

(5). 上传 ~/.ssh 目录下的 id_rsa 私钥到 jumpserver 的管理用户中
[root@uu .ssh]# ll
总用量 16
-r--------. 1 root root  389 7月  10 15:23 authorized_keys
-rw-------. 1 root root 1675 7月  10 15:23 id_rsa
-rw-r--r--. 1 root root  389 7月  10 15:23 id_rsa.pub
-rw-r--r--. 1 root root  401 7月  10 13:32 known_hosts
(py3) [root@uu .ssh]# cat id_rsa
-----BEGIN RSA PRIVATE KEY-----
MIIEo..........rAN+0tPySq17YPAnFxYxOWhbUA3t5Bnr
-----END RSA PRIVATE KEY-----
将显示的私钥拷贝复制保存在一个文件中，上传即可
数量多的话可以考虑使用rsync推送到统一设备并重命名，然后批量下载后在jumpserver挨个上传。

# 这样就可以使用 ssh私钥 进行管理服务器

# 名称可以按资产树来命名。用户名root。密码和 SSH 私钥必填一个

3.1.3 创建系统用户

（Linux--普通用户，资产上要存在这一账户）

# 系统用户是 Jumpserver 跳转登录资产时使用的用户，可以理解为登录资产用户
# 系统用户的 Sudo 栏设定用户的 sudo 权限
# 系统用户是 Jumpserver跳转登录资产时使用的用户，可以理解为登录资产用户，如 web, sa, dba(`ssh web@some-host`), 而不是使用某个用户的用户名跳转登录服务器(`ssh xiaoming@some-host`); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 系统用户创建时，如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中，如果资产(交换机、windows)不支持ansible, 请手动填写账号密码。 目前还不支持Windows的自动推送

# 这里简单举几个例子
Sudo /bin/su  # 当前系统用户可以免sudo密码执行sudo su命令

Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 当前系统用户可以免sudo密码执行git php cat more less tail

Sudo !/usr/bin/yum  # 禁止执行 yum 权限

# 此处的权限应该根据使用用户的需求汇总后定制，原则上给予最小权限即可

# 下图为不允许用户执行一些危险的操作，允许其他的所有权限

3.1.4 创建资产

# 点击页面左侧的“资产管理”菜单下的“资产列表”按钮，查看当前所有的资产列表。
# 点击页面左上角的“创建资产”按钮，进入资产创建页面，填写资产信息。
# IP 地址和管理用户要确保正确，确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。
资产的系统平台也务必正确填写。公网 IP 信息只用于展示，可不填，Jumpserver 连接资产使用的是 IP 信息。

3.1.5 网域列表

# 网域功能是为了解决部分环境无法直接连接而新增的功能，原理是通过网关服务器（从资产里选择一台）进行跳转登录
# 点击页面左侧的“网域列表”按钮，查看所有网域列表
# 点击页面左上角的“创建网域”按钮，进入网域创建页面，选择资产里用作网域的网关服务器
注：混合云适用

# 点击网域的名称，进入网域详情列表。
# 点击页面的“网关”按钮，选择网关列表的“创建网关”按钮，进入网关创建页面，填写网关信息。
# IP信息一般默认填写网域资产的IP即可（如用作网域的资产有多块网卡和IP地址，选能与jumpserer通信的任一IP即可）
注：用户名与密码可以使用网关资产上已存在的任一拥有执行 ssh 命令权限的用户

注：保存信息后点击测试连接，确定设置无误后到资产列表添加需要使用网关登录的资产即可。

3.2 创建 Windows 资产

3.2.1 创建 Windows 系统管理用户

注：同 Linux 系统的管理用户一样，名称可以按资产树来命名，用户名是管理员用户名，密码是管理员的密码

3.2.2 创建 Windows 系统系统用户

# 目前 Windows 暂不支持自动推送，用户必须在系统中存在且有权限使用远程连接，请确认资产的防火墙已经开放
注：Windows 资产协议务必选择 rdp

# 如果想让用户登录资产时自己输入密码，可以点击系统用户的名称 点击清除认证信息