ljzsdut
GitHubToggle Dark/Light/Auto modeToggle Dark/Light/Auto modeToggle Dark/Light/Auto modeBack to homepage
  1. Welcome to the ljzsdut's notes
  2. /
  3. Linux基础
  4. /
  5. Jumpserver使用文档
Edit page

Jumpserver使用文档

基本配置

管理用户

管理用户是资产(被控服务器)上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户, JumpServer 使用该用户来 推送系统用户获取资产硬件信息 等。

image-20201222184853257

image-20201222185157588

创建资产

image-20201222185443401

image-20201222190207313

image-20201222190708019

系统用户

添加授权之前,需要先进行创建系统用户。

系统用户是 JumpServer 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web,sa,dba(ssh web@some-host),而不是直接使用jumpserver中的某个用户的用户名跳转登录服务器(ssh xiaoming@some-host);

简单来说是用户使用自己的用户名登录 JumpServer,JumpServer 使用系统用户登录资产。 系统用户创建时,如果选择了自动推送,JumpServer 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机)不支持 Ansible,请手动填写账号密码。

image-20201222191457540

image-20201222191546703

image-20201222192123364

image-20201222193934953

如果不选用“自动推送”,则需用在资产上手动创建该“系统用户”。如果选用“自动推送”,则会在资产的系统用户上创建公钥连接,私钥保存在jms中。

对于普通用户,可以禁用一些危险命令:

!/bin/bash,!/bin/tcsh,!/bin/su,!/usr/bin/passwd,!/usr/bin/passwd root,!/bin/vim /etc/sudoers,!/usr/bin/vim /etc/sudoers,!/usr/sbin/visudo,!/usr/bin/sudo -i,!/bin/bi /etc/ssh/*,!/bin/chmod 777 /etc/*,!/bin/chmod 777 *,!/bin/chmod 777,!/bin/chmod -R 777 *,!/bin/rm /*,!/bin/rm /,!/bin/rm -rf /,!/bin/rm -rf /*,!/bin/rm /etc,!/bin/rm -r /etc,!/bin/rm -rf /etc,!/bin/rm /etc/*,!/bin/rm -r /etc/*,!/bin/rm -rf /etc/*,!/bin/rm /root,!/bin/rm -r /root,!/bin/rm -rf /root,!/bin/rm /root/*,!/bin/rm -r /root/*,!/bin/rm -rf /root/*,!/bin/rm /bin,!/bin/rm -r /bin,!/bin/rm -rf /bin,!/bin/rm /bin/*,!/bin/rm -r /bin/*,!/bin/rm -rf /bin/*

image-20201222192403453

image-20201222192640709

资产授权

image-20201222192706398

image-20201222192920216

image-20201222192938974

验证登录

image-20201222193219145

我们登录jms,发现已经可以登录服务器了。

也可以使用ssh协议进行连接。

ssh oper@IP -p 2222  #用户是登录jms用户

image-20201222194503700

image-20201222194645276

手动推送系统用户

image-20201222201220365

最佳实践1:

也可以多个jms用户共用同一个系统用户,这样可以避免重复推送系统用户

1、创建2个系统用户,一个是普通的开发者用户;一个是运维使用的用户

image-20201222202757565

image-20201222203320246

2、创建2个jms用户组,一个是开发者组,一个是运维组

image-20201222203714604

3、创建2个资产授权条目

一个配置用户组dev使用系统用户dev_safe访问资产;

image-20201222203902712

一个配置用户组operater使用系统用户operater访问资产。image-20201222203936358

4、新增jms用户(日后新增用户时,只需要操作该步骤即可)

只需将jms用户加入相关的组即可。

image-20201222204337228

image-20201222204303389

image-20201222204438920

记得手动推送一下系统用户.

最佳实践2:一类用户使用同一个系统用户。

1、创建2个用户组:开发人员、运维人员

image-20201222210640907

2、创建一个管理用户

该用户的公钥已经手动配置到各个资产上了。

image-20201222210744649

image-20201222210830573

3、创建资产、绑定管理用户

image-20201222210956317

image-20201222211023192

4、创建2个系统用户

一个用于绑定jms开发组,一个用于绑定jms运维组。

image-20201222211349469

此外,系统用户还可以配置“命令过滤器”,用来禁止哪些命令的执行。例如禁止rm命令。

image-20201222211458516

image-20201222211519500

5、资产授权

条目1:配置“开发人员”组使用“开发人员”的系统用户访问资产

条目2:配置“运维人员”组使用“运维人员”的系统用户访问资产

一个授权上可以绑定多个系统用户,优先使用“优先级”高的系统用户连接资产。

image-20201222212142025

image-20201222212218887

以上4步定义了2个jms组及其权限,如果有新的需求,也可以再进行创建组。

6、创建jms用户(新增用户只需操作此步骤即可)

创建用户,将用户添加到该组中即可。

image-20201222212511538

网域

如果jms不能直接连接资产,但是可以通过其他机器跳转后连接,那么这台机器就可以作为网域使用。