堡垒机

什么是堡垒机

在特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段,实时收集和监控网络环境中的每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。

我们又把堡垒机叫做跳板机。简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计。堡垒机还可以用来做资产管理、监控、用户授权等。

虚拟机 IP
jumpserver(搭建堡垒机) 192.168.200.36
client(需要添加的资产) 192.168.200.37
端口作用说明
22 SSH SSH协议连接服务器
80,8080 WEB服务 进入网页的端口,可以自行修改
2222 jumpserver终端连接端口 使用xshell等连接

 

一 安装部署 - JumpServer   

 https://docs.jumpserver.org/zh/v2.17.0/install/setup_by_fast/ 

一键部署或者离线部署

一键部署:(有网的情况下)

# 默认会安装到 /opt/jumpserver-installer-v2.17.0 目录

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.0/quick_start.sh | bash

离线部署:

从飞致云社区 下载最新的 linux/amd64 离线包, 并上传到部署服务器的 /opt 目录

cd /opt
tar -xf jumpserver-offline-installer-v2.17.0-amd64-81.tar.gz
cd jumpserver-offline-installer-v2.17.0-amd64-81
# 安装
./jmsctl.sh install

# 启动
./jmsctl.sh start

完成后用IP进入到网页中

 

 用户名和密码都是 admin  (也可以重设一下密码)

出现该界面,即为搭建成功。

 二 基础环境配置

1.关闭防火墙

#systemctl stop firewalld              关闭防火墙
#systemctl disable firewalld           禁止开机自启
#setenforce 0                          临时关闭selinux
#sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config      永久关闭selinux
#yum install vim net-tools -y          安装需要使用的工具

2.进入管理终端

在搭建堡垒机的服务器里输入以下命令

ssh -p 2222 admin@127.0.0.1
#ssh    登录协议
#-p        选择登录端口,jumpserver登录端口为2222
#admin@127.0.0.1        #终端用户名为admin,IP为本地IP127.0.0.1
#登录密码为你jumpserver登录密码

出现该界面即登录成功。jumpserver完整的搭建成功

3.给管理终端设置ssh免密登录

我们可以通过配置ssh秘钥来进行免密登录,输入以下命令:

ssh-keygen       #生成ssh秘钥,公钥。生成在/root/.ssh/下

cat /root/.ssh/id_rsa.pub    #查看公钥
#将复制的公钥粘贴到指定位置

 三 用户管理

这个用户是用来登录Jumpserver堡垒机的

1.创建一个普通用户

用户管理-用户列表-创建

  账户除了用户组暂时不用填    认证——密码策略——设置密码

然后提交即可

2.资产管理

资产管理——系统用户——特权用户——创建

普通用户和特权用户的区别:普通用户不是root管理员账号,而特权用户是。特权用户可以获得虚拟机的一些信息等。

 设置名称——选择文件

ssh-keygen -f jumpserver2    #在当前目录下,生成jumpserver2的公钥私钥。

然后在xftp中,将创立的私钥拉出来

选择文件——选中jumpserver2并且上传——提交

3.创建资产

此时就要开始绑定服务器/虚拟机了。

右键Default——创建节点——进入新创建的节点——创建

 注意:虚拟机名不需要和主机名一样虚拟机名不需要和主机名一样

 出现下面界面即创建资产成功(创建成功,但是并没有进行绑定)

 

4.绑定资产

设置linux名称——添加用户——设置用户密码——visudo

ssh-copy-id -i jumpserver2.pub jumpserver2@192.168.200.37
#复制ssh到jumpserver2@192.168.200.37

然后就绑定成功了,不过需要进行测试。

四 权限管理

1.创建普通用户

资产管理——系统用户——普通用户——创建——ssh

 

 创建普通用户,用户名和密码写你虚拟机的。

权限管理——资产授权——创建

2.设置普通用户

 打开自动推送

3.管理页面

   

web终端:

 文件管理:

五 身份认证

1.创建用户

用户管理——用户列表——创建

多创建几个用户,用来分配给用户组。多创建几个系统审计员和用户

2.创建用户组

 然后提交

3.用户权限说明

  • 普通用户权限:就是用来操作资产的普通用户,无法查看仪表盘,日志等操作界面。

  • 普通用户的界面:普通用户只有一个用户界面。因为前面我们给用户分配了资产,所以这里“我的资产”中有机器。批量命名/web终端/文件管理均可使用。前提是管理员分配了资产。

 

  • 审计员权限:拥有普通用户的权限,并且可以查看日志仪表盘等界面。

  • 审计员用户界面:和管理员一样,他们也有两个界面,一个管理界面一个用户界面

 

相关

标签