界面管理配置操作官方资料:
https://github.com/jumpserver/jumpserver/wiki/%E5%BF%AB%E9%80%9F%E5%BC%80%E5%A7%8B
添加用户
用户管理-查看用户-添加用户 填写基本信息,完成用户添加
用户添加完成后,根据提示记住用户账号密码,换个浏览器登录下载key,ssh登录jumpserver测试
创建的用户是给普通员工所使用
为创建好的普通员工发送邮件通知消息
提示用户添加成功,并且可以收到通知邮件信息
说明信息:
web界面创建用户信息,实质上在程序内部做了两件事儿
①:在jumpserver服务程序的数据库的响应表中,添加了新的用户信息
②:在jumpserver的服务程序系统中,利用useradd命令创建出相应的普通用户,并且会生成用户对应的公钥和私钥,利用密钥登录跳板机普通用户还有一个重要作用,可以用来登录jumpserver的web管理界面
添加资产
资产管理-查看资产-添加资产 填写基本信息 完成资产添加
添加资产实质的作用是添加通过跳板机可以管理的主机信息
选择单台添加,设置好主机名或者IP地址,可以选择管理账号,勾选默认配置
使用默认表示选择默认的用户设置–选择【设置】—编辑【默认设置】,表示定义管理账户的默认设置
如果没有设置,默认是无法进行勾选的
定义管理权限用户,必须在被管理资产主机上真实存在,并且是具有创建用户 删除用户的等权限的管理用户,比如root
管理用户设置完成,单击提交
输出以下提示信息,表示主机资产添加成功
操作疑问:
如果被管理资产主机上没有root用户,或者没有授权开发root用户,该如何添加管理用户/
添加默认管理用户设置
有可能公司所有主机的管理用户和密码是一致的,就可以设置为默认管理用户
在资产主机中创建默认管理用户admin
[root@jumpserver-02 ~]# useradd admin
[root@jumpserver-02 ~]# echo 123456|passwd --stdin admin 更改用户 admin 的密码 。
passwd: 所有的身份验证令牌已经成功更新。
[root@jumpserver-02 ~]# visudo <- 设置非root管理用户的sudo权限
admin ALL=(ALL) NOPASSWD: ALL
如果采用的是密钥登录,也可以在下面的界面输入私钥信息,设置完毕点击确认保存
默认管理用户设置完成
添加资产主机是以主机名作为主键识别唯一性的,可以更改主机名称,再添加一台相同的资产追
此逻辑设置,主要考虑到通过远程登录时,公网ip一样,端口映射不一样,所以主机名唯一,IP地址可以进行重复使用
至此,用户添加完毕,主机资产添加完毕,下面要对管理权限进行授权了
授权管理
添加sudo
授权管理–sudo–添加别名 输入别名名称和命令,完成sudo添加
默认跳板机创建的用户都时普通用户,所以需要依赖sudo命令别名功能,使之普通用户具有相应权限,操作管理用户的命令
出现如下提示信息,表示sudo别名命令就创建完成了
添加系统用户
授权管理–系统用户–添加 输入基本信息 完成系统用户添加
知识点回顾:
普通用户:实际上类似于公司的员工,不同的员工可以利用创建的普通用户,登录跳板机界面进行管理jumpserver跳板机
管理用户:是必须在系统中存在的用户,后续执行一些特殊权限命令,都需要借助管理用户,比如创建新的用户信息等
默认用户:就是默认管理用户,有时公司的全部主机会有一个共有的管理用户,比如root用户,就可以进行管理用户默认配置
系统用户:表示管理用于管理系统的用户,比如网络系统用户为netadmin,开发为Devadmin,运维为sa等,根据职能需求进行创建系统用户是被管理用户所创建出来的
系统用户进行相关sudo权限,并且可以初始化不设置密码信息,后续会自动生成
推送系统用户
授权管理–推送–选择需要推送的资产或者资产组完成推送
推送只支持服务器,使用密钥是指用户从跳板机跳转时使用key,反之使用密码,授权时会检查推送记录,如果没有推送过则无法完成系统用户在该资产上的授权。如果资产是网络设备,请不要选择密码和密钥,模拟推送一下,目的是为了生成推送记录。
系统用户配置完毕后,需要利用【推送】功能,将需要创建的用户信息,通过ansible批量告知被管理客户端,进行相应用户的创建
查看用户信息:
[root@jumpserver-02 ~]# id dev id: dev:无此用户
说明:在推送系统之前,被管理主机客户端是没有定义的Dev用户信息的;只有推送后才有的。
进行系统用户dev的推送
如下图所示系统用户推送成功
# 命令行检查客户端信息,确认用户是否推送成功
[root@jumpserver-02 ~]# id dev uid=502(dev) gid=502(dev) 组=502(dev)
说明:
检验完毕,系统用户推送成功 记忆回顾:模拟推送失败过程 ①. 开启主机selinux,并且确认客户端主机未安装libselinux-python软件
②. 回收dev系统用户
③. 重新进行推送
思考:理解推送过程逻辑原理,大致理解libselinux-python软件包作用
添加授权规则
授权管理–授权规则–添加规则 选择刚才添加的用户,资产,系统用户完成授权
如果资产中存在没有系统用户推送记录的资产信息,就会输出以下错误信息
重新进行调整后,进行重新授权
上述报错,是由于存在一些资产信息,没有用户推送记录导致,为了避免这种问题再次出现,可以将所有资产的系统用户都推送一下
对未推送过系统用户资产,进行系统用户推送
重新修改授权信息
授权用户进行调整,授权资产信息也重新进行调整
利用资产中的链接,进行连测试,会报错信息如下图所示
提示以上错误,是因为没有对admin超级管理进行资产信息的授权,下面对admin用户也进行资产授权
取消掉一个普通用户,添加一个管理员用户,然后重新进行授权
授权变更完成
测试登录
用户下载key登录跳板机,会自动运行connect.py,根据提示登录服务器
用户登录web查看授权的主机,点击后面的链接,测试是否可以登录服务器
利用jumpserver即可实现连接响应的主机,进行操作管理,并且使用的系统用户就是之前创建的dev用户
查看dev系统用户的sudo定义的授权的权限信息是否正确
说明信息:
以上连接主机过程,需要依赖之前启动的run_websocket.py程序服务,否则会出现连接异常问题
监控和结束会话
日志审计-在线 查看当前登录的用户登录情况,点击监控查看用户执行的命令,点击阻断,结束用户的会话,重新建立新的浏览窗口,进行监控查看
通过跳板机连接资产主机,输入相应的命令,都会被实时监控到
通过资产操作抓取资产主机硬件信息
可以把主机资产信息批量导出,进行资产管理
还可以对所有资产主机进行批量执行命令,实现主机资产批量管理
执行命令
测试命令的执行,命令记录查看 批量执行命令的日志
批量执行的命令操作也是有响应操作记录的
查看历史记录
日志审计–登录历史—查看登录历史-点击统计查看命令历史,点击回放查看录像
jumpserver软件软件web界面操作–普通用户界面操作
普通用户进行登录
用户名为之前创建的普通用户名,密码为邮件发送告知,进行登录
普通用户进行资产主机连接管理,操作步骤基本上和上面的admin管理员操作步骤一样
说明信息:
普通用户下是没有审计功能,所以无法对资产主机进行监控管理,只有管理员admin有权限进行对运维人员的操作监控管理
上传下载
测试文件的上传下载,日志审计-上传下载–查看上传下载记录
主要是对普通用户进行监控,对系统上的资源文件,进行过那些上传和下载操作
上传和下载操作也会被进行记录,便于管理员进行监控管理
jumpserver软件命令界面操作
要用admin用户进行命令行操作管理
#用户进入到命令行界面
[root@jumpserver-01 jumpserver]# python connect.py
没有该用户,或许你是以root运行的 No that user.
[root@jumpserver-01 jumpserver]# su - admin
[admin@jumpserver-01 ~]$ cd /opt/jumpserver/
[admin@jumpserver-01 jumpserver]$ python connect.py
### 欢迎使用Jumpserver开源跳板机系统 ###
1) 输入 ID 直接登录.
2) 输入 / + IP, 主机名 or 备注 搜索.
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机.
6) 输入 E/e 批量执行命令.
7) 输入 U/u 批量上传文件.
8) 输入 D/d 批量下载文件.
9) 输入 H/h 帮助.
0) 输入 Q/q 退出.
Opt or ID>: 普通用户下是没有审计功能
切换普通用户进行命令操作
[root@jumpserver-01 jumpserver]# su - oldboy
### 欢迎使用Jumpserver开源跳板机系统 ###
1) 输入 ID 直接登录.
2) 输入 / + IP, 主机名 or 备注 搜索.
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机.
6) 输入 E/e 批量执行命令.
7) 输入 U/u 批量上传文件.
8) 输入 D/d 批量下载文件.
9) 输入 H/h 帮助.
0) 输入 Q/q 退出.
Opt or ID>:
说明:发现直接就进入到跳板机的命令行界面,因为在/etc/profile.d目录中存在一个跳板机脚本zzjumpserver.sh
模拟利用普通用户进行管理资产主机
通过邮件信息首先下载key密钥信息
密钥信息下载
利用xshell的密钥登录主机方法,将密钥进行导入,即可直接通过密钥登录到跳板机命令行界面
命令行选项操作说明
### 欢迎使用Jumpserver开源跳板机系统 ###
1) 输入 ID 直接登录.
2) 输入 / + IP, 主机名 or 备注 搜索.
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机.
6) 输入 E/e 批量执行命令.
7) 输入 U/u 批量上传文件.
8) 输入 D/d 批量下载文件.
9) 输入 H/h 帮助.
0) 输入 Q/q 退出.
Opt or ID>:
说明:发现直接就进入到跳板机的命令行界面,因为在/etc/profile.d 目录当中存在一个跳板机脚本 zzjumpserver.sh
# 显示有权限管理的主机信息
Opt or ID>: p [ID ] 主机名 IP 端口 系统用户 备注
[0 ] jumpclient-01 10.0.0.71 22 ['dev']
[1 ] dbmaster-01 10.0.0.71 22 ['dev']
# 直接输入ID信息,进行登录主机
Opt or ID>: 0
Last login: Tue Jun 27 03:08:36 2017 from 10.0.0.70
[dev@jumpserver-02 ~]$
# 显示帮助信息界面
Opt or ID>: h
### 欢迎使用Jumpserver开源跳板机系统 ###
1) 输入 ID 直接登录.
2) 输入 / + IP, 主机名 or 备注 搜索.
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机.
6) 输入 E/e 批量执行命令.
7) 输入 U/u 批量上传文件.
8) 输入 D/d 批量下载文件.
9) 输入 H/h 帮助.
0) 输入 Q/q 退出.
# 利用搜索功能搜索主机信息
Opt or ID>: /jump
[ID ] 主机名 IP 端口 系统用户 备注
[0 ] jumpclient-01 10.0.0.71 22 ['dev']