?

?

?

?

?全程按照官方安裝文檔流程完成本次安裝：

官方文檔地址：http://docs.jumpserver.org/zh/docs/step_by_step.html

一、系統(tǒng)環(huán)境

Centos7 x64 setenforce 0 # 可以設(shè)置配置文件永久關(guān)閉：/etc/selinux/config systemctl stop iptables.service systemctl stop firewalld.service# 修改字符集，否則可能報(bào) input/output error的問(wèn)題，因?yàn)槿罩纠锎蛴×酥形?localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8 export LC_ALL=zh_CN.UTF-8 echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf#更換源地址 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo yum clean all yum makecache

?

二、準(zhǔn)備 Python3 和 Python 虛擬環(huán)境

1、安裝依賴(lài)包 yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git2、編譯安裝 cd /usr/local/src/ wget https://www.python.org/ftp/python/3.6.6/Python-3.6.6.tar.xz tar xf Python-3.6.6.tar.xz && cd Python-3.6.6 ./configure && make && make install # 這里必須執(zhí)行編譯安裝，否則在安裝 Python 庫(kù)依賴(lài)時(shí)會(huì)有麻煩..3、建立Python虛擬環(huán)境 #因?yàn)?CentOS 6/7 自帶的是 Python2，而 Yum 等工具依賴(lài)原來(lái)的 Python，為了不擾亂原來(lái)的環(huán)境我們來(lái)使用 Python 虛擬環(huán)境 [root@jumpserver Python-3.6.6]# cd /opt/ [root@jumpserver opt]# pwd /opt [root@jumpserver opt]# python3 -m venv py3 [root@jumpserver opt]# source /opt/py3/bin/activate (py3) [root@jumpserver opt]# 4、 自動(dòng)載入 Python 虛擬環(huán)境配置 #此項(xiàng)僅為懶癌晚期的人員使用，防止運(yùn)行 Jumpserver 時(shí)忘記載入 Python 虛擬環(huán)境導(dǎo)致程序無(wú)法運(yùn)行。使用autoenv cd /opt git clone git://github.com/kennethreitz/autoenv.git echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc source ~/.bashrc

?

三、安裝Jumpserver

?

1、下載或Clone項(xiàng)目 項(xiàng)目提交較多 git clone 時(shí)較大，你可以選擇去 Github 項(xiàng)目頁(yè)面直接下載zip包 cd /opt/ git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env # 進(jìn)入 jumpserver目錄時(shí)將自動(dòng)載入 python 虛擬環(huán)境# 首次進(jìn)入 jumpserver 文件夾會(huì)有提示，按 y 即可 Are you sure you want to allow this? (y/N) y2、安裝依賴(lài) RPM 包 cd /opt/jumpserver/requirements yum -y install $(cat rpm_requirements.txt) # 如果沒(méi)有任何報(bào)錯(cuò)請(qǐng)繼續(xù)3、安裝 Python 庫(kù)依賴(lài) pip install -r requirements.txt # 不要指定-i參數(shù)，因?yàn)殓R像上可能沒(méi)有最新的包，如果沒(méi)有任何報(bào)錯(cuò)請(qǐng)繼續(xù) 注釋：Pip 加速設(shè)置請(qǐng)參考 <https://segmentfault.com/a/1190000011875306>4、安裝 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke yum -y install redis systemctl start redis
systemctl enable redis5、安裝 MySQL 本教程使用 Mysql 作為數(shù)據(jù)庫(kù)，如果不使用 Mysql 可以跳過(guò)相關(guān) Mysql 安裝和配置 # centos7下安裝的是mariadb yum -y install mariadb mariadb-devel mariadb-server systemctl enable mariadb systemctl start mariadb6、創(chuàng)建數(shù)據(jù)庫(kù) Jumpserver 并授權(quán) $ mysql create database jumpserver default charset 'utf8'; grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword'; flush privileges;7、修改 Jumpserver 配置文件 cd /opt/jumpserver cp config_example.py config.py vi config.py

?

#注意: 不要直接復(fù)制本文檔的內(nèi)容；配置文件是 Python 格式，不要用 TAB，而要用空格

""" jumpserver.config~~~~~~~~~~~~~~~~~Jumpserver project setting file:copyright: (c) 2014-2017 by Jumpserver Team:license: GPL v2, see LICENSE for more details. """ import osBASE_DIR = os.path.dirname(os.path.abspath(__file__))class Config:# Use it to encrypt or decrypt data# Jumpserver 使用 SECRET_KEY 進(jìn)行加密，請(qǐng)務(wù)必修改以下設(shè)置# SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'SECRET_KEY = '請(qǐng)隨意輸入隨機(jī)字符串（推薦字符大于等于 50位）'# Django security setting, if your disable debug model, you should setting thatALLOWED_HOSTS = ['*']# DEBUG 模式 True為開(kāi)啟 False為關(guān)閉，默認(rèn)開(kāi)啟，生產(chǎn)環(huán)境推薦關(guān)閉# 注意：如果設(shè)置了DEBUG = False，訪問(wèn)8080端口頁(yè)面會(huì)顯示不正常，需要搭建 nginx 代理才可以正常訪問(wèn)了DEBUG = False# 日志級(jí)別，默認(rèn)為DEBUG，可調(diào)整為INFO, WARNING, ERROR, CRITICAL，默認(rèn)INFOLOG_LEVEL = 'ERROR'LOG_DIR = os.path.join(BASE_DIR, 'logs')# 使用的數(shù)據(jù)庫(kù)配置，支持sqlite3, mysql, postgres等，默認(rèn)使用sqlite3# See https://docs.djangoproject.com/en/1.10/ref/settings/#databases # 默認(rèn)使用SQLite，如果使用其他數(shù)據(jù)庫(kù)請(qǐng)注釋下面兩行# DB_ENGINE = 'sqlite3'# DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')# # 如果需要使用mysql或postgres，請(qǐng)取消下面的注釋并輸入正確的信息,本例使用mysql做演示DB_ENGINE = 'mysql'DB_HOST = '127.0.0.1'DB_PORT = 3306DB_USER = 'jumpserver'DB_PASSWORD = 'somepassword'DB_NAME = 'jumpserver'# Django 監(jiān)聽(tīng)的ip和端口，生產(chǎn)環(huán)境推薦把0.0.0.0修改成127.0.0.1，這里的意思是允許x.x.x.x訪問(wèn)，127.0.0.1表示僅允許自身訪問(wèn)# ./manage.py runserver 127.0.0.1:8080HTTP_BIND_HOST = '127.0.0.1'HTTP_LISTEN_PORT = 8080# Redis 相關(guān)設(shè)置REDIS_HOST = '127.0.0.1'REDIS_PORT = 6379REDIS_PASSWORD = ''def __init__(self):passdef __getattr__(self, item):return Noneclass DevelopmentConfig(Config):passclass TestConfig(Config):passclass ProductionConfig(Config):pass# Default using Config settings, you can write if/else for different env config = DevelopmentConfig()

繼續(xù)如下操作

1、生成數(shù)據(jù)庫(kù)表結(jié)構(gòu)和初始化數(shù)據(jù) cd /opt/jumpserver/utils bash make_migrations.sh2、運(yùn)行 Jumpserver cd /opt/jumpserver ./jms start all # 后臺(tái)運(yùn)行使用 -d 參數(shù)./jms start all -d#新版本更新了運(yùn)行腳本，使用方式./jms start|stop|status|restart all 后臺(tái)運(yùn)行請(qǐng)?zhí)砑?-d 參數(shù) 運(yùn)行不報(bào)錯(cuò)，請(qǐng)瀏覽器訪問(wèn)?http://http://10.10.10.60:8080 默認(rèn)賬號(hào): admin 密碼: admin 頁(yè)面顯示不正常先不用處理，跟著教程繼續(xù)操作就行，后面搭建 nginx 代理就可以正常訪問(wèn)了！

三、安裝 SSH Server 和 WebSocket Server: Coco

1、下載或 Clone 項(xiàng)目 cd /opt source /opt/py3/bin/activate git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master echo "source /opt/py3/bin/activate" > /opt/coco/.env # 進(jìn)入 coco 目錄時(shí)將自動(dòng)載入 python 虛擬環(huán)境2、安裝依賴(lài) cd /opt/coco/requirements yum -y install $(cat rpm_requirements.txt) pip install -r requirements.txt -i https://pypi.org/simple3、修改配置文件并運(yùn)行 cd /opt/coco cp conf_example.py conf.py # 如果 coco 與 jumpserver 分開(kāi)部署，請(qǐng)手動(dòng)修改 conf.py vi conf.py
# 注意對(duì)齊，不要直接復(fù)制本文檔的內(nèi)容
#!/usr/bin/env python3 # -*- coding: utf-8 -*- #import osBASE_DIR = os.path.dirname(__file__)class Config:""" Coco config file, coco also load config from server update setting below""" # 項(xiàng)目名稱(chēng), 會(huì)用來(lái)向Jumpserver注冊(cè), 識(shí)別而已, 不能重復(fù)# NAME = "localhost"NAME = "coco"# Jumpserver項(xiàng)目的url, api請(qǐng)求注冊(cè)會(huì)使用, 如果Jumpserver沒(méi)有運(yùn)行在127.0.0.1:8080，請(qǐng)修改此處# CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'CORE_HOST = 'http://127.0.0.1:8080'# 啟動(dòng)時(shí)綁定的ip, 默認(rèn) 0.0.0.0# BIND_HOST = '0.0.0.0'# 監(jiān)聽(tīng)的SSH端口號(hào), 默認(rèn)2222# SSHD_PORT = 2222# 監(jiān)聽(tīng)的HTTP/WS端口號(hào)，默認(rèn)5000# HTTPD_PORT = 5000# 項(xiàng)目使用的ACCESS KEY, 默認(rèn)會(huì)注冊(cè),并保存到 ACCESS_KEY_STORE中,# 如果有需求, 可以寫(xiě)到配置文件中, 格式 access_key_id:access_key_secret# ACCESS_KEY = None# ACCESS KEY 保存的地址, 默認(rèn)注冊(cè)后會(huì)保存到該文件中# ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')# 加密密鑰# SECRET_KEY = None# 設(shè)置日志級(jí)別 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']# LOG_LEVEL = 'INFO'# 日志存放的目錄# LOG_DIR = os.path.join(BASE_DIR, 'logs')# Session錄像存放目錄# SESSION_DIR = os.path.join(BASE_DIR, 'sessions')# 資產(chǎn)顯示排序方式, ['ip', 'hostname']# ASSET_LIST_SORT_BY = 'ip'# 登錄是否支持密碼認(rèn)證# PASSWORD_AUTH = True# 登錄是否支持秘鑰認(rèn)證# PUBLIC_KEY_AUTH = True# 和Jumpserver 保持心跳時(shí)間間隔# HEARTBEAT_INTERVAL = 5# Admin的名字，出問(wèn)題會(huì)提示給用戶# ADMINS = ''COMMAND_STORAGE = {"TYPE": "server"}REPLAY_STORAGE = {"TYPE": "server"}config = Config()

?

啟動(dòng)coco服務(wù)
$ ./cocod start # 后臺(tái)運(yùn)行使用 -d 參數(shù)./cocod start -d# 新版本更新了運(yùn)行腳本，使用方式./cocod start|stop|status|restart 后臺(tái)運(yùn)行請(qǐng)?zhí)砑?-d 參數(shù) 啟動(dòng)成功后去Jumpserver 會(huì)話管理-終端管理（http://10.10.10.60:8080/terminal/terminal/）接受coco的注冊(cè)，如果頁(yè)面不正常可以等部署完成后再處理

?

四. 安裝 Web Terminal 前端: Luna

Luna 已改為純前端，需要 Nginx 來(lái)運(yùn)行訪問(wèn) 訪問(wèn)（https://github.com/jumpserver/luna/releases）下載對(duì)應(yīng)版本的 release 包，直接解壓，不需要編譯4.1 解壓 Luna cd /opt wget https://github.com/jumpserver/luna/releases/download/1.3.2/luna.tar.gz tar xvf luna.tar.gz chown -R root:root luna

?

五. 安裝 Windows 支持組件（如果不需要管理 windows 資產(chǎn)，可以直接跳過(guò)這一步）

因?yàn)槭謩?dòng)安裝 guacamole 組件比較復(fù)雜，這里提供打包好的 docker 使用, 啟動(dòng) guacamole 5.1 Docker安裝 (僅針對(duì)CentOS7，CentOS6安裝Docker相對(duì)比較復(fù)雜)（國(guó)內(nèi)不一定能使用） yum remove docker-latest-logrotate docker-logrotate docker-selinux dockdocker-engine yum install -y yum-utils device-mapper-persistent-data lvm2# 添加docker官方源 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache fast yum install docker-ce -y# 國(guó)內(nèi)部分用戶可能無(wú)法連接docker官網(wǎng)提供的源，這里提供阿里云的鏡像節(jié)點(diǎn)供測(cè)試使用（可以先使用這個(gè)） yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg yum makecache fast yum -y install docker-cesystemctl start docker systemctl status docker
systemctl enable docker

?

5.2 啟動(dòng) Guacamole
這里所需要注意的是 guacamole 暴露出來(lái)的端口是 8081，若與主機(jī)上其他端口沖突請(qǐng)自定義修改下面 docker run 里的 JUMPSERVER_SERVER 參數(shù)，填上 Jumpserver 的 url 地址, 啟動(dòng)成功后去 Jumpserver 會(huì)話管理-終端管理（http://10.10.10.60:8080/terminal/terminal/）接受[Gua]開(kāi)頭的一個(gè)注冊(cè)，如果頁(yè)面顯示不正常可以等部署完成后再處理 #docker run --name jms_guacamole -d \-p 8081:8081 -v /opt/guacamole/key:/config/guacamole/key \-e JUMPSERVER_KEY_DIR=/config/guacamole/key \-e JUMPSERVER_SERVER=http://10.10.10.60:8080 \registry.jumpserver.org/public/guacamole:latest

六. 配置 Nginx 整合各組件

6.1 安裝 Nginx 根據(jù)喜好選擇安裝方式和版本 yum -y install nginx6.2 準(zhǔn)備配置文件 修改 /etc/nginx/nginx.conf vim /etc/nginx/nginx.conf ... ... # 把默認(rèn)server配置塊改成這樣 server {listen 80; # 代理端口，以后將通過(guò)此端口進(jìn)行訪問(wèn)，不再通過(guò)8080端口proxy_set_header X-Real-IP $remote_addr;proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;location /luna/ {try_files $uri / /index.html;alias /opt/luna/;}location /media/ {add_header Content-Encoding gzip;root /opt/jumpserver/data/;}location /static/ {root /opt/jumpserver/data/;}location /socket.io/ {proxy_pass http://localhost:5000/socket.io/; # 如果coco安裝在別的服務(wù)器，請(qǐng)?zhí)顚?xiě)它的ipproxy_buffering off;proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "upgrade";}location /guacamole/ {proxy_pass http://localhost:8081/; # 如果guacamole安裝在別的服務(wù)器，請(qǐng)?zhí)顚?xiě)它的ipproxy_buffering off;proxy_http_version 1.1;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection $http_connection;access_log off;client_max_body_size 100m; # Windows 文件上傳大小限制}location / {proxy_pass http://localhost:8080; # 如果jumpserver安裝在別的服務(wù)器，請(qǐng)?zhí)顚?xiě)它的ip } } ... ...6.3 運(yùn)行 Nginx nginx -t # 確保配置沒(méi)有問(wèn)題, 有問(wèn)題請(qǐng)先解決# CentOS 7 systemctl start nginx systemctl enable nginx

?

?

6.4 開(kāi)始使用 Jumpserver

檢查應(yīng)用是否已經(jīng)正常運(yùn)行$ cd /opt/jumpserver $ ./jms status # 確定jumpserver已經(jīng)運(yùn)行，如果沒(méi)有運(yùn)行請(qǐng)重新啟動(dòng)jumpserver$ cd /opt/coco $ ./cocod status # 確定jumpserver已經(jīng)運(yùn)行，如果沒(méi)有運(yùn)行請(qǐng)重新啟動(dòng)coco# 如果安裝了 Guacamole $ docker ps # 檢查容器是否已經(jīng)正常運(yùn)行，如果沒(méi)有運(yùn)行請(qǐng)重新啟動(dòng)Guacamole 服務(wù)全部啟動(dòng)后，訪問(wèn) http://10.10.10.60，訪問(wèn)nginx代理的端口，不要再通過(guò)8080端口訪問(wèn) 默認(rèn)賬號(hào): admin 密碼: admin
如果部署過(guò)程中沒(méi)有接受應(yīng)用的注冊(cè)，需要到Jumpserver 會(huì)話管理-終端管理 接受 Coco Guacamole 等應(yīng)用的注冊(cè)。

6.5、** 測(cè)試連接** 如果登錄客戶端是 macOS 或 Linux ，登錄語(yǔ)法如下 $ ssh -p2222 admin@192.168.244.144 $ sftp -P2222 admin@192.168.244.144 密碼: admin如果登錄客戶端是 Windows ，Xshell Terminal 登錄語(yǔ)法如下 $ ssh admin@192.168.244.144 2222 $ sftp admin@192.168.244.144 2222 密碼: admin 如果能登陸代表部署成功# sftp默認(rèn)上傳的位置在資產(chǎn)的 /tmp 目錄下 # windows拖拽上傳的位置在資產(chǎn)的 Guacamole RDP上的 G 目錄下

?

?

6.5、服務(wù)器重啟后需要的恢復(fù)操作

如果有一天服務(wù)器因其他原因重啟了，恢復(fù)Jumpserver需做如下操作：

1、檢查selinux： [root@jumpserver ~]# getenforce Enforcing [root@jumpserver ~]# setenforce 0 注釋：可以執(zhí)行修改/etc/selinux/config文件，永久禁用；2、查看防火墻是否開(kāi)放80端口 3、查看mysql、redis、nginx、docker是否正常運(yùn)行 systemctl start docker docker ps4、啟動(dòng)其他進(jìn)程 [root@jumpserver ~]# source /opt/py3/bin/activate (py3) [root@jumpserver ~]# cd /opt/jumpserver (py3) [root@jumpserver jumpserver]# ./jms start all -d(py3) [root@jumpserver jumpserver]# cd /opt/coco (py3) [root@jumpserver coco]# ./cocod start -d

(py3) [root@jumpserver coco]# docker restart jms_guacamole # 如果接受注冊(cè)后顯示不在線，重啟gua就好了

?

6.6、jumpserver常見(jiàn)問(wèn)題匯總

官方文檔： http://docs.jumpserver.org/zh/docs/faq.html

GItHub:https://github.com/jumpserver/jumpserver/wiki/v0.3.2-%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98-FAQ

?

?

?

這時(shí)就可以在瀏覽器內(nèi)輸入：http://10.10.10.60? 打開(kāi)Jumpserver了

?

七、Jumpserver的基本使用

前提條件：

　　一臺(tái)安裝好 Jumpserver 系統(tǒng)的可用主機(jī)（堡壘機(jī)）

　　一臺(tái)或多臺(tái)可用的 Linux、Windows資產(chǎn)設(shè)備（被管理的資產(chǎn)）

?

?7.1、系統(tǒng)設(shè)置

　　1.1 基本設(shè)置

　　# 修改 URL 的 localhost 為你的實(shí)際 url 地址，否則郵件收到的地址將為 localhost，修改完 url 地址后需要重啟 jumpserver 服務(wù)（重啟才能生效，后續(xù)會(huì)解決這個(gè)問(wèn)題）

　　

　　1.2、郵箱設(shè)置

　　

注釋：

如果是163的郵箱，當(dāng)傳入發(fā)送郵箱正確的用戶名和密碼時(shí)，總是收到到：550 User has no permission這樣的錯(cuò)誤，其實(shí)我們用Java發(fā)送郵件時(shí)相當(dāng)于自定義客戶端根據(jù)用戶名和密碼進(jìn)行登錄，
然后使用SMTP服務(wù)發(fā)送郵件。但新注冊(cè)的163郵件默認(rèn)是不開(kāi)啟客戶端授權(quán)驗(yàn)證的（對(duì)自定的郵箱大師客戶端默認(rèn)開(kāi)啟），因此登錄總是會(huì)被拒絕，驗(yàn)證沒(méi)有權(quán)限。解決辦法是進(jìn)入163郵箱，進(jìn)入郵箱中心——客戶端授權(quán)密碼，選擇開(kāi)啟即可；
有的用戶由于開(kāi)啟了授權(quán)碼，如果輸入郵箱登錄密碼的話會(huì)報(bào)535 Error：authentication failed

　　3.3、系統(tǒng)設(shè)置項(xiàng)內(nèi)的其他設(shè)置（略）

7.2、創(chuàng)建用戶

　　1.1、創(chuàng)建用戶組

　　jumpserver的普通用戶是用于登錄web管理頁(yè)面以及命令行登錄該堡壘機(jī)的用戶，首先創(chuàng)建一個(gè)用戶組

　　

　　1.2、創(chuàng)建用戶組

?

? 7.3、資產(chǎn)管理

　　1.1、資產(chǎn)列表類(lèi)

?

　　1.2、管理用戶類(lèi)

管理用戶是資產(chǎn)上的 root，或擁有 NOPASSWD: ALL sudo 權(quán)限的用戶，Jumpserver 使用該用戶來(lái)推送系統(tǒng)用戶、獲取資產(chǎn)硬件信息等# 如果使用ssh私鑰管理資產(chǎn)，需要先在資產(chǎn)上設(shè)置，這里舉個(gè)例子供參考（本例登錄資產(chǎn)使用root為例） (1). 在資產(chǎn)上生成 root 賬戶的公鑰和私鑰# ssh-keygen -t rsa # 默認(rèn)會(huì)輸入公鑰和私鑰文件到 ~/.ssh 目錄(2). 將公鑰輸出到文件 authorized_keys 文件，并修改權(quán)限# cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys# chmod 400 ~/.ssh/authorized_keys(3). 打開(kāi)RSA驗(yàn)證相關(guān)設(shè)置$ vim /etc/ssh/sshd_configRSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys(4). 重啟 ssh 服務(wù)# service sshd restart(5). 上傳 ~/.ssh 目錄下的 id_rsa 私鑰到 jumpserver 的管理用戶中保存即可！

# 這樣就可以使用 ssh私鑰 進(jìn)行管理服務(wù)器
# 名稱(chēng)可以按資產(chǎn)樹(shù)來(lái)命名。用戶名root。密碼和 SSH 私鑰必填一個(gè)

?

?

　　1.3、系統(tǒng)用戶類(lèi)

個(gè)人理解：管理用戶只是用來(lái)初次設(shè)置系統(tǒng)時(shí)使用：在資產(chǎn)系統(tǒng)中創(chuàng)建一個(gè)指定的、權(quán)限有限制的Jump用戶；獲取系統(tǒng)信息。系統(tǒng)用戶是：需要存在資產(chǎn)系統(tǒng)中的普通用戶

附錄：（等同于Linux系統(tǒng)中的sudo授權(quán)）

# 系統(tǒng)用戶是 Jumpserver 跳轉(zhuǎn)登錄資產(chǎn)時(shí)使用的用戶，可以理解為登錄資產(chǎn)用戶 # 系統(tǒng)用戶的 Sudo 欄設(shè)定用戶的 sudo 權(quán)限# 這里簡(jiǎn)單舉幾個(gè)例子 Sudo /bin/su # 當(dāng)前系統(tǒng)用戶可以免sudo密碼執(zhí)行sudo su命令Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail # 當(dāng)前系統(tǒng)用戶可以免sudo密碼執(zhí)行g(shù)it php cat more less tailSudo !/usr/bin/yum # 禁止執(zhí)行 yum 權(quán)限# 此處的權(quán)限應(yīng)該根據(jù)使用用戶的需求匯總后定制，原則上給予最小權(quán)限即可 # 下圖為不允許用戶執(zhí)行一些危險(xiǎn)的操作，允許其他的所有權(quán)限

?

　　1.4、網(wǎng)域列表　　

如果有多個(gè)的互相隔離的網(wǎng)絡(luò)，設(shè)置資產(chǎn)屬于的網(wǎng)域，使用網(wǎng)域網(wǎng)關(guān)跳轉(zhuǎn)登錄

?

　　1.5、標(biāo)簽管理

　　　　就是給資產(chǎn)打個(gè)標(biāo)簽（起好主機(jī)名比打標(biāo)簽強(qiáng)）

　　

?

7.4、權(quán)限管理

?

?

7.4.1 授權(quán)后進(jìn)行測(cè)試

?

注釋：如果不想使用密匙，也可以使用密碼

?

7.5會(huì)話管理

　　1.1、在線會(huì)話

　　　　記錄當(dāng)前連接資產(chǎn)的會(huì)話用戶；

　　1.2、歷史會(huì)話

　　　

?

注釋：會(huì)話完成后，需要關(guān)閉對(duì)應(yīng)的會(huì)話窗口，否則就會(huì)出現(xiàn)ID:2的現(xiàn)象；

　　1.3、命令記錄

　　　　記錄會(huì)話中輸入的命令

? ? ? ? ? ? ?

?

　　1.4、web終端

　　　　

?

　　1.5、終端管理

?　　　　

7.6、作業(yè)中心

?　　1.1、任務(wù)列表

?

7.7、日志審計(jì)

　　1.1、FTP審計(jì)

?

?

?

?8.1防火墻設(shè)置（iptables）

(py3) [root@jumpserver opt]# cat /etc/sysconfig/iptables
#nat表是創(chuàng)建映射的時(shí)候添加的，不用修改 *nat :PREROUTING ACCEPT [5130:306500] :INPUT ACCEPT [4914:295268] :OUTPUT ACCEPT [28601:1717434] :POSTROUTING ACCEPT [28601:1717434] :DOCKER - [0:0] -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE -A POSTROUTING -s 172.17.0.2/32 -d 172.17.0.2/32 -p tcp -m tcp --dport 8080 -j MASQUERADE -A DOCKER -i docker0 -j RETURN -A DOCKER ! -i docker0 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 172.17.0.2:8080 COMMIT
#下邊的需要自己設(shè)置 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1977:170592] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 10.100.0.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT #只有特定IP可以訪問(wèn)80端口-A INPUT -s 172.17.0.2/32 -p tcp -m state --state NEW --dport 8080 -j ACCEPT #這個(gè)是必須要設(shè)置的！！！！ -A INPUT -p tcp -m tcp --dport 10052 -j ACCEPT #這個(gè)是可以使用ssh登錄jumpserver的主機(jī) -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/huangyanqi/p/9291105.html

總結(jié)

以上是生活随笔為你收集整理的安装Jumpserver的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。