实验声明：本实验教程仅供研究学习使用，请勿用于非法用途，违者一律自行承担所有风险！

实验名称

堡垒机使用

实验目的

了解堡垒机的使用，及审计原理

实验环境

一台已经安装好的 jumperserver 堡垒机

一台windows服务器 作为被管理目标服务器，同时作为客户端连接堡垒机

一台linux服务器，作为被管理目标服务器，也可用作SSH客户端，连接堡垒机

实验步骤

1、打开jumpserver 后台服务

登录jumpserver服务器

切换 root用户

sudo -i

进入py3环境

source /opt/py3/bin/activate

启jumpsever动服务

cd /opt/jumpserver
./jms start all -d

打开所需的docker容器

因为镜像中的容器IP地址发生改变，所以参数不正常。这里要重新创建两个容器。dock 大家注意替换下面命令中的IP地址 192.168.0.11

docker run --name jms_koko2 -d -p 2222:2222 -p 5000:5000 -e CORE_HOST=http://192.168.0.11:57046 -e BOOTSTRAP_TOKEN=360College360Col -e LOG_LEVEL=ERROR jumpserver/jms_koko:1.5.0

docker run --name jms_guacamole2 -d -p 8081:8081 -e JUMPSERVER_SERVER=http://192.168.0.11:57046 -e BOOTSTRAP_TOKEN=360College360Col jumpserver/jms_guacamole:1.5.0
docker start jms_guacamole

检查容器是否启动

docker ps -a

启动nginx

systemctl start nginx

检查nginx是否启动(实验环境中配置的是57047端口)

ss -lntp | grep "57047"

2、登录Windows服务器，访问jumserver

http://jumpserverip:57047

用户名:admin 密码：360College

实验环境中，已经配置了双因子验证，要配合google令牌进行登录。请同学按照提示进行绑定。 先输入密码360College

jumpserver继续点下一步，注意红框中密钥

使用手机或android模拟器扫描二维码下载APP双因素令牌 下载安装打开后如图，点击开始

输入上面的密钥，

点击添加后，动态口令就可以展示出来。将动态口令输入到WEB上。即可绑定成功。

再重新登录，用户名密码不变，(admin:360Collegel)

这时会要求输入动态口令，才能进入。

在实验环境是中，大家已经理解MFA多因子验证。接下来，关闭其它用户的MFA登录。

3、创建普通用户

普通用户是登录jumpserver的用户。 用户名 360 密码360College 如图，这里的MFA认证，即多因子验证，就像我们刚才的管理员使用手机APP生成动态口令验证一样。

4、创建资产--管理用户

管理用户是被管理服务器的root用户，可以在被管理服务器上远程执行脚本。执行脚本依赖组件ansible。

这里为了便于区分，管理用户名、密码均为guanliyonghu

5、创建系统用户

系统用户是被管理服务上，给运维人员使用的用户。可以手动创建，也可以结合ansible推送，我们这里演示ansible推送。 系统用户是运维人员使用的，可以将密码托管到堡垒机，避免记很多密码。

注意红框的标记，取消自动生成密钥

用户名密码均为xitongyonghu（这个密码不用告诉运维人员）

再建一个Windows下的系统用户（windows没有办法推送账号更新，必须手动创建） 我们这里选择手动登录，不托管密码

6、创建资产

新建centos资产，注意IP与实验环境中一致

新建Windows资产，注意IP与实验环境中一致

7、授权资产给用户

8、配置Centos服务器

安装ansible

登录到环境中的centos服务器

切换成root用户

sudo -i 编辑文件 vim /etc/yum.repos.d/ansible

加入以下内容

[epel]
name = all source for ansible
baseurl = https://mirrors.aliyun.com/epel/7/x86_64/
enabled = 1
gpgcheck = 0
[ansible]
name = all source for ansible
baseurl = http://mirrors.aliyun.com/centos/7.3.1611/os/x86_64/
enabled = 1
gpgcheck = 0

安装ansible

yum install ansible -y

创建管理用户

useradd guanliyonghu

修改guanliyonghu 密码为 guanliyonghu

passwd guanliyonghu

给guanliyonghu添加root权限

vim /etc/passwd

修改用户和组ID为0，保存退出。

8、推送xitongyonghu

给centos服务器建立xitongyonghu 点击xitongyonghu

推送用户，将会以guanliyonghu登录centos，创建xitongyonghu

9、测试配置

使用windows登录，堡垒机,可以用火狐新开一个隐私窗口，同时登录管理员和普通用户。

http://192.168.0.11:57047

用户名360 密码360College

如果是访问命令提示行，也可以使用ssh连接服务器2222端口。 如图

总结

本文仅讲了堡垒机的基础配置。

还有很多关于权限的设置没有讲到，比如禁止一些命令。 rm -rf vim /etc/passwd

比如，回放录像，大家可以自己研究。 更多功能，也可以参照官网配置。（中文的）