前言

复习一下堡垒机jumpserver的使用,这个比较简单,没有教程自己稍微搞搞就能弄明白

|--|-|--|
|NODE|IP|ROLE|
|TT|192.168.179.139|jumpserver服务端|
|T1|192.168.179.191|测试主机1|
|T2|192.168.179.192|测试主机2|
|T3|192.168.179.193|测试主机3|

实践

1.安装jumpserver

#请先配置好docker,docker加速源,docker-compose,因为jumpserver是使用docker-compose启动的
curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

由于是测试,就不修改端口了,直接暴露80端口,jumpserver似乎本身默认暴露端口导致不能实现反向代理(因为能够直接访问,反向代理没啥用),修改jmsctl.sh与docker-compose.yaml应该能够绑定本机IP,然后就可反向代理了

#如果需要修改端口
vim  /opt/jumpserver/config/config.txt

HTTP_PORT=8888

#其他可能使用的命令
cd /opt/jumpserver-installer-v4.8.0
./jmsctl.sh start  #启动
./jmsctl.sh stop   #关闭

2.创建资产
创建资产,其实与zabbix添加监控节点一样

3.创建账户并授权资产
这个账户其实就是linux的用户,它的账户名需要与linux的用户名相同,密码也需要相同,这意味着要在该主机上创建普通用户并且设置密码
资产管理

4.测试连接
需要提前创建账号并关联
jumpserver会ping这个主机,只要主机开22端口了,一般就会成功

5.账户连接
使用账户进行连接测试

6.创建用户
这个用户是jumpserver的用户,使用堡垒机一个功能就是掩藏真实主机的用户密码,使用jumpserver的用户与刚刚创建的账户进行关联,就可以间接通过jumpserver用户(实际上使用linux账户)进行登录

6.资产授权
将用户(jumpserver用户),账户(linux主机用户),资产(主机)进行关联
账户已经关联过资产了,但是一个账户课关联多个资产,反过来也是,如果仅对资产或账户关联会导致该用户可能登录它不本没有权限登录的主机或获取主机的root权限

7.退出重新登录
需要注意的是使用的是用户名test而不是名称TEST

8.连接
可以发现test用户仅有连接,文件传输,文件管理界面,虽然添加的3个主机该用户都有,但是连接时就会提示没有用户可以使用,

至此,按照以上流程,jumpserver最重要的管理登录的功能就实现了

9.日志审计

进入审计控制

总结

jumpserver某种程度上与ELK差不多,都有日志平台的功能,但jumpserver最重要的功能不仅是日志审计,而且保护了真正的账户密码
jumpserver对于使用者(普通用户)来说,使用jumpserver就等于使用连接工具类似于xshell