Jumpserver堡垒机管理(安装和相关操作)-------从小白到大神之路之学习运维第89天

第四阶段

时  间:2023年8月28日

参加人:全班人员

内  容:

Jumpserver堡垒机管理

目录

一、堡垒机简介

(一)运维常见背黑锅场景

(二)背黑锅的主要原因

(三)解决背黑锅的方法

二、Jumpserver简介

(一)支持的操作系统

(二)功能介绍

(三)Jumpserver组件说明

(四)Jumpserver功能说明

三、部署Jumpserver环境

(一)实验环境

四、Jumpserver配置应用

(一)系统设置

(二)创建资产

(三)同理添加资产,得到如下:


一、堡垒机简介

(一)运维常见背黑锅场景

        1、由于不明身份用户利用远程运维通道攻击服务器造成业务系统出现异常:但是运维人员无法明确攻击来源,那么领导很生气、后果很严重。

        2、只有张三能管理的服务器,被李四登录过并且做了违规操作:但是没有证据是李四登录的,那么张三只能背黑锅了。

        3、运维人员不小心泄露了服务器的密码。一旦发生安全事故,那么后果不堪设想。

        4、某服务器的重要数据被窃。但是数据文件无法挽回,那么面临的是无法估量的经济损失。

        运维工作中由于远程登录来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅。

(二)背黑锅的主要原因

        其实运维工作,出现各种问题是在所难免的不仅要有很好的分析处理能力,而且还要避免问题再次发生。

要清楚认识到出现问题的真实原因:

1、没有规范管理,人与服务器之间的界限不清晰;

2、没有实名机制,登录服务器前没有实名验证;

3、没有密码托管,服务器的密码太多,很难做到定期修改,自己保管怕丢失;

4、没有操作预警,对高危、敏感的操作无法做到事前防御;

5、没有传输控制,对重要服务器无法控制文件传输;

6、没有回溯过程,不能完整还原运维过程。

(三)解决背黑锅的方法

        作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的方法。

1、统一入口、规范管理

        提供统一入口,所有运维人员只能登录堡垒机才能访问服务器,梳理“人与服务器”之间的关系,防止越权登录

 

2、利用手机APP动态口令等验证机制

        采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制防止密码被暴力破解,解决访问身份模糊的问题。

 

3、托管服务器密码,实现自动改密

        通过堡垒机定期自动修改服务器的密码,解决手工修改密码、密码泄露和记住密码的烦恼。

1)可自动修改Windows、Linux、Unix、网络设备等操作系统的密码;

2)可以设置周期或指定时间执行改密任务;

3)可设定密码的复杂度、随机密码、指定密码、固定密码格式等;

4)可通过邮件、SFTP、FTP方式自动发送密码文件给管理员;

5)提供密码容错机制:改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等。

4、事中控制,防止违规操作

        作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技。

1)通过命令控制策略,拦截高危、敏感的命令

2)通过命令审核策略,审批需要执行但又不能随意执行的命令

3)通过文件传输控制策略,防止数据、文件的泄露

 

5、精细化审计,追溯整个运维过程

        堡垒机要做到文件记录、视频回放等精细化完整审计,快速定位运维过程:

1)不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录。

2)还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据。

二、Jumpserver简介

        Jumpserver 是全球首款完全开源的堡垒机(跳板机),使用 GNU GPL v2.0 开源协议,是符合 4A(认证Authentication、授权Authorization、记账Accounting、审计Audit) 的专业运维审计系统。

        Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。

        Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发限制。

        基于ssh协议来管理。被管理的服务器无需安装agent软件。助力互联网企业高效的对用户、资产(服务器)、权限、审计集中管理。而且管理界面是中文的,是一款无论从功能还是使用便捷度上来讲,都是非常不错的选择。

官网网站:http://www.jumpserver.org/

(一)支持的操作系统

Redhat CentOS

Debian Ubuntu

SUSE

FreeBSD

其他ssh协议硬件设备(如交换机...)

(二)功能介绍

1.  精确记录操作命令

2.  支持批量文件上传下载

3.  支持主机搜索登录

4.  支持批量命令执行(Ansible完成)

5.  支持WebTerminal连接主机

6.  支持Web端批量命令执行

7.  支持录像回放

8.  支持硬件信息如cpu,内存等抓取

9.  支持资产Excel导入导出

10. 支持资产批量更改

11. 支持系统用户的批量推送(Ansible实现)

12. 支持用户,主机,用户组,主机组,系统用户混合细颗粒授权

13. 支持sudo管理

14. 支持命令统计和命令搜索

15. 支持上传下载文件审计

16. 支持终止用户连接

17. 支持各种搜索

18. 其他

(三)Jumpserver组件说明

        Jumpserver:为管理后台, 管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作,默认端口为 8080/tcp 配置文件在 jumpserver/config.yml

        Coco:为 SSH Server 和 Web Terminal Server 。用户可以通过使用自己的账户登录 SSH 或者 Web Terminal 直接访问被授权的资产。不需要知道服务器的账户密码,默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 coco/config.yml

        Luna:为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件

        Guacamole:为 Windows 组件, 用户可以通过 Web Terminal 来连接 Windows 资产 (暂时只能通过 Web Terminal 来访问), 默认端口为 8081/tcp

        Nginx:默认端口为 80/tcp,前端代理服务

        Redis:默认端口为 6379/tcp,数据库缓存服务

        Mysql:默认端口为 3306/tcp,数据库服务

(四)Jumpserver功能说明

Jumpserver提供的堡垒机必备功能

身份验证 Authentication

登录认证

多因子认证

资源统一登录和认证

LDAP认证

支持OpenID,实现单点登录

MFA(Google Authenticator)

账号管理 Account

集中账号管理

统一密码管理

批量密码变更(X-PACK)

多云环境的资产纳管(X-PACK)

管理用户管理

系统用户管理

资产密码托管

自动生成密码

密码自动推送

密码过期设置

定期批量修改密码

生成随机密码

对私有云、公有云资产统一纳管

授权控制 Authorization

资产授权管理

组织管理(X-PACK)

多维度授权

指令限制

统一文件传输

文件管理

资产树

资产或资产组灵活授权

节点内资产自动继承授权

实现多租户管理,权限隔离

可对用户、用户组或系统角色授权

限制特权指令使用,支持黑白名单

SFTP 文件上传/下载

Web SFTP 文件管理

安全审计 Audit

会话管理

录像管理

指令审计

文件传输审计

在线会话管理

历史会话管理

Linux 录像支持

Windows 录像支持

指令记录

上传/下载记录审计

三、部署Jumpserver环境

官网推荐安装环境

CPU: 2核、内存: 8G

(一)实验环境

IP地址

主机名

角色

192.168.100.131

jumpserver

堡垒机

192.168.100.132

server132

被管理服务器

192.168.100.133

server133

被管理服务器

官方极速安装:

安装部署 - JumpServer 文档

1、关闭防火墙

[rootahuyang1~]# systemctl stop firewalld[rootchuyangl~]# iptables -F[rootahuvang1~]# setenforce 0[root@jumpserver -]#hostnamectl set-hostnamejumpserver

 

2、在线下载软件

curl -sSL

https://github.com/jumpserver/jumpserver/releases/download/v2.28.0/quick_start.sh | bash

 

根据提示操作:

cd /opt/jumpserver-installer-v2.28.0/

./jmsctl.sh start

 

3、测试连接

# linux

ssh -p2222 admin@192.168.100.131 # 密码: admin

sftp -P2222 admin@192.168.100.131 # 密码: admin

 

# Windows 下, Xshell Terminal 登录语法如下

ssh admin@192.168.100.131 2222 # 密码: admin

[root@localhost ~]# ssh -p2222  admin@192.168.100.131

 

4、网页访问测试:

用户名:admin   密码:admin

 

修改密码:

 

自动跳转:

 

再次登录:

 

进入访问:

 

可以配置当前邮箱:在主页面,也就是控制台,选择用户管理--->用户列表

 

点击administrator右侧的更新进入修改如下:

 

在右侧个人中心查看如下:

 

四、Jumpserver配置应用

(一)系统设置

1、设置当前站点URL,更改如下:

 

2、设置邮箱:

 

3、输入内容:测试

 

4、结果测试

 

(二)创建资产

1、创建资产管理用户--->特权用户创建,如下:

 

2、进入添加名称--->用户名--->认证密码、密钥密码

 

3、提交后,添加

 

4、创建资产,点击资产列表--->创建

 

配置如下:

 

点击提交:

 

等待一会,刷新:

 

最终结果如下:

 

(三)同理添加资产,得到如下:

1、建特权用户

 

2、创建资产server132

 

3、创建资产server133

 

4、结果如下:

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/109218.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Unity shader 入门之渲染管线一、总览

如下示意图 应用阶段(ApplicationStage):准备场景信息(视景体,摄像机参数)、粗粒度剔除、定义每个模型的渲染命令(材质,shader)——由开发者定义,不做讨论。几何阶段(GemetryStage)&…

centos服务器系统下安装python3并与自带的python2

centos服务器系统下安装python3并与自带的python2 在centos中,自带有python2,因此需要经常安装python3。但是这里有一个坑,就是centos的yum是用python2写的,如果正常编译安装python3,那么yum就会直接挂了。为了方便以…

PDF校对:让您的文件无瑕疵

无论您是企业家、学生、教育者还是作家,我们都知道,提交或发布一个充满错误的PDF文件可能会给您的声誉或品牌带来严重损害。这就是为什么PDF校对如此关键的原因。现在,让我们深入了解PDF校对的重要性,以及如何确保您的文件尽可能完…

[NLP]LLM--transformer模型的参数量

1. 前言 最近,OpenAI推出的ChatGPT展现出了卓越的性能,引发了大规模语言模型(Large Language Model, LLM)的研究热潮。大规模语言模型的“大”体现在两个方面:模型参数规模大,训练数据规模大。以GPT3为例,GPT3的参数量…

MDK 5.xx.0 + STM32F10x 笔记

天才脑袋比不上烂笔头, 写给自己看, 自用资料。 安装MDK STM32环境 Download MDK安装 MDK -> c:\keil_v5 用默认路径下载 ARMCC V5.06 Update 7 (build960) <- 长期稳定支持版本安装至 c:\keil_v5\arm\ARMCC开启 uVision.设定 预设编译程序版本 : V5.06 Update 7 (bui…

git分支管理策略

git的基础操作以及常用命令在上篇博客哦~ git原理与基本使用 1.分支管理 1.主分支 在版本回退⾥&#xff0c;我们已经知道&#xff0c;每次提交&#xff0c;Git都把它们串成⼀条时间线&#xff0c;这条时间线就可以理解为是⼀个分⽀。截⽌到⽬前&#xff0c;只有⼀条时间线&…

python的安装(推荐)

torch安装与卸载推荐链接1推荐链接2 推荐链接3 安装pytorch步骤推荐链接 python关键字&#xff1a;

【CSS 画个梯形】

使用clip-path: polygon画梯形 clip-path: polygon使用方式如下&#xff1a; 效果实现 clip-path: polygon 是CSS的属性之一&#xff0c;用于裁剪元素的形状。它可以通过定义一个具有多边形顶点坐标的值来创建一个多边形的裁剪区域&#xff0c;从而实现元素的非矩形裁剪效果。…

软件测试用例经典方法 | 因果图法及案例

典型的黑盒测试用例设计方法包括等价类划分法、边界值分析法、决策表法、因果图法等。 如果程序的输入条件之间相互存在联系,那么就会使情况变得复杂,因为要检查输入条件的组合情况并不是一件容易的事情,即使把所有输入条件划分为等价类,它们之间的组合情况也相当多,难以分析。…

pdf怎么压缩到1m以内?分享3个pdf压缩技巧

PDF是我们常用的文件类型&#xff0c;它旨在保留文档原样式和格式&#xff0c;因此通常情况下要比其他文件格式大一些&#xff0c;特别是那些包含了大量图片的PDF文件&#xff0c;文件大小都比较大&#xff0c;给我们的存储和传输带来了困难。 针对过大的PDF文件&#xff0c;想…

伦敦金走势多变怎么办

投资知识比较丰富的朋友&#xff0c;应该知道一个品种的价格过于波动&#xff0c;对投资者来说并是一件不友好的事情&#xff0c;因为频繁的价格变化&#xff0c;对于收益的稳定性会产生负面的影响&#xff0c;也可能让投资者的持仓陷入进退维谷的尴尬境地。 黄金作为贵金属市场…

软考:中级软件设计师:HTML

软考&#xff1a;中级软件设计师:HTML 提示&#xff1a;系列被面试官问的问题&#xff0c;我自己当时不会&#xff0c;所以下来自己复盘一下&#xff0c;认真学习和总结&#xff0c;以应对未来更多的可能性 关于互联网大厂的笔试面试&#xff0c;都是需要细心准备的 &#xff…

Unity——DOTween插件使用方法简介

缓动动画既是一种编程技术&#xff0c;也是一种动画的设计思路。从设计角度来看&#xff0c;可以有以下描述 事先设计很多基本的动画样式&#xff0c;如移动、缩放、旋转、变色和弹跳等。但这些动画都以抽象方式表示&#xff0c;一般封装为程序函数动画的参数可以在使用时指定&…

python-数据可视化-使用API

使用Web应用程序编程接口 &#xff08;API&#xff09;自动请求网站的特定信息而不是整个网页&#xff0c;再对这些信息进行可视化 使用Web API Web API是网站的一部分&#xff0c;用于与使用具体URL请求特定信息的程序交互。这种请求称为API调用 。请求的数据将以易于处理的…

Visual Studio2022史诗级更新,增加多个提高生产力的功能

Visual Studio 2022发布了17.7x版&#xff0c;这次更新中&#xff0c;增加多个提高生产力的功能以及性能进一步改进。 如果要体验新功能&#xff0c;需要将Visual Studio 2022的版本升级到17.7及以上 下面我们看看新增的功能以及改进的功能&#xff01; 目录 文件比较自动修复代…

Redis限流实践:实现用户消息推送每天最多通知2次的功能

&#x1f3c6;作者简介&#xff0c;黑夜开发者&#xff0c;CSDN领军人物&#xff0c;全栈领域优质创作者✌&#xff0c;CSDN博客专家&#xff0c;阿里云社区专家博主&#xff0c;2023年6月CSDN上海赛道top4。 &#x1f3c6;数年电商行业从业经验&#xff0c;历任核心研发工程师…

爬虫(bilibili热门课程记录)

什么是爬虫&#xff1f;程序蜘蛛&#xff0c;沿着互联网获取相关信息&#xff0c;收集目标信息。 一、python环境安装 1、先从Download Python | Python.org中下载最新版本的python解释器 2、再从Download PyCharm: Python IDE for Professional Developers by JetBrains中下…

第59步 深度学习图像识别:误判病例分析(TensorFlow)

基于WIN10的64位系统演示 一、写在前面 本期内容对等于机器学习二分类系列的误判病例分析&#xff08;传送门&#xff09;。既然前面的数据可以这么分析&#xff0c;那么图形识别自然也可以。 本期以mobilenet_v2模型为例&#xff0c;因为它建模速度快。 同样&#xff0c;基…

深度学习算法模型转成算能科技平台xx.bmodel模型的方法步骤

目录 1 docker镜像下载 2 SDK下载 3 下载sophon-demo 4 修改docker镜像的脚本 5 创建个文件夹 6.source 7.转模型 1 docker镜像下载 可以在dockerhub看到镜像的相关信息 https://hub.docker.com/r/sophgo/tpuc_dev/tags 用下面的命令下载 docker pull sophgo/tpuc_d…

CTFhub-文件上传-前端验证

burp 抓包 --> 重发--> 查看源代码 用 GodZilla 生成木马 文件名为 1.php.jsp 上传-->抓包-->改包 (删掉 .jpg) --> 点击 放行 木马文件位置为&#xff1a;http://challenge-f0531d0c27641130.sandbox.ctfhub.com:10800/upload/1.php 用 蚁剑连接 ctfhub{4743b…