共计 2403 个字符,预计需要花费 7 分钟才能阅读完成。
上一篇文章星哥讲了如何安装 JumpServer 堡垒机,本篇文章来讲如何配置和使用 JumpServer。
安装成功后,通过浏览器访问登录 JumpServer
地址: http://<JumpServer 服务器 IP 地址 >:< 服务运行端口 > 用户名: admin
进入 JumpServer
如图,控制分为三大功能模块,控制台、审计台、工作台。
系统设置
-
点击页面右上角的
系统设置进行配置。
基本设置
| 名称 | 示例 | 备注 |
|---|---|---|
| 当前站点 URL | https://demo.jumpserver.org | 不设置的话,邮件收到的地址为 http://localhost |
| 文档链接 | 默认即可 | |
| 支持链接 | 默认即可 |
邮件设置
-
我们支持通过
SMTP或EXCHANGE方式来对接邮件配置。
SMTP
| 名称 | 示例 | 备注 |
|---|---|---|
| SMTP 主机 | smtp.qq.com | 服务商提供的 smtp 服务器 |
| SMTP 端口 | 25 | 通常是 25 |
| SMTP 账号 | **.com | 通常是 user@domain.com |
| SMTP 密码 | **** | 每次 测试连接 都需要重新输入密码 |
| 使用 SSL | [] | 如果端口使用 465,必须勾选此项 |
| 使用 TLS | [] | 如果端口使用 587,必须勾选此项 |
| 发件人 | **.com | 测试连接 必须要输入 |
| 主题前缀 | [JMS] | 邮件的标题,收到的邮件是 [JMS] 开头 |
| 测试收件人 | **.com | 测试连接必填 |
注意
-
不可以同时勾选
使用 SSL和使用 TLS。
邮箱测试连接
如图,点击测试连接
收到邮件
资产管理
准备工作
准备两个测试资产和一个数据库来验证功能。
| IP 地址 | 主机名 | 端口 | 操作系统 | 管理员用户 | 密码 |
|---|---|---|---|---|---|
| 192.168.1.10 | test_ssh10 | 22 | Centos 7 | root | 123456 |
| 192.168.1.157 | test_win157 | 3389 | Windows 10 | PC | 空 |
| 192.168.1.6 | test_mysql06 | 61920 | MySQL 5.7 | root | 123456 |
编辑资产树
-
点击页面左侧的
资产管理–资产列表,在根节点Default右键新建SSH Server、RDP Server、Database三个节点。 -
资产树样式如下:
Default
├─ SSH Server
└─ RDP Server
└─ DB Server注意
-
根节点
Default不能重命名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作。
创建资产
-
点击页面左侧的
资产管理–资产列表–主机–创建创建一台 Linux 服务器,并在创建资产过程中,创建特权用户,内容就是上面表单的管理员用户和密码。 -
Windows 资产的创建流程同样如此。
-
创建 Linux 资产样式如下:
| 名称 | IP/ 主机 | 资产平台 | 节点 | 协议组 | 账号列表 |
|---|---|---|---|---|---|
| test_ssh10 | 192.168.1.10 | Linux | /Default/SSH Server | ssh 22 | 添加 |
如下图:
注意
-
名称不能重名,密码或者密钥二选一即可,一些资产不允许通过密码认证可以改用私钥认证。 -
特权用户仅支持SSH协议,用于资产可连接性测试、推送用户、批量改密等自动化任务。 -
资产创建信息填写好保存之后隔几秒钟时间刷新一下网页,
ssh协议资产的可连接图标会显示绿色,且硬件信息会显示出来。 -
如果
可连接的图标是黄色或者红色,可以点击资产的名称,在右侧快速修改–测试可连接性点击测试按钮,根据错误提示处理。 -
被连接
Linux资产需要python组件,且版本大于等于2.6,Ubuntu等资产默认不允许root用户远程ssh登录,请自行处理,Windows资产需要手动安装OpenSSH Server。 -
如果资产不能正常连接,请检查 特权用户 的
用户名和密码是否正确以及该特权用户是否能使用SSH从JumpServer主机正确登录到资产主机上。
创建 windows 资产
创建数据库应用
-
点击页面左侧的
资产管理–资产列表–创建–数据库下选择 MySQL 数据库。 -
创建 MySQL 数据库应用样式如下:
| 名称 | 地址 | 节点 | 数据库 | 协议组 | 账号列表 |
|---|---|---|---|---|---|
| test_mysql06 | 192.168.1.6 | /Default/DB Server | test | mysql:61920 | 添加 |
创建如图:
填写之后,点击测试,看是否能连通。
注意
-
名称、主机、数据库选项为必填项。
创建授权规则
-
点击页面左侧的
授权管理–资产授权–创建创建一个授权。 -
Windows 资产、MySQL 数据库 的授权流程和下述内容相同。
-
创建登录授权规则(例如 Linux 资产),样式如下:
| 名称 | 用户 | 用户组 | 资产 | 节点 | 账号 | 动作 |
|---|---|---|---|---|---|---|
| admin_ssh01 | Administrator(admin) | – | test_ssh01(172.16.80.11) | – | 所有账号 | 全部 |
创建资产授权
注意
-
名称,授权的名称,不能重复。 -
用户和用户组二选一,不推荐即选择用户又选择用户组。 -
资产和节点二选一,选择节点会包含节点下面的所有资产。 -
账号,账号为连接资产的认证凭据。 -
用户 (组),资产 (节点)是一对一的关系,所以当拥有Linux、Windows不同类型资产时,应该分别给Linux资产和Windows资产创建授权规则。
用户登录
-
点击页面右上角的
Web 终端进行资产连接。
点击‘WEB 终端’
连接
注意
-
用户只能看到自己被管理员授权了的
资产,如果登录后无资产,请联系管理员进行确认。
新建用户
左侧“用户列表”,创建
审计台
JumpServer 的审计台提供了全面的审计功能,可以记录和追踪用户的操作行为,包括登录记录、命令执行记录、会话操作录像等,为运维团队提供了关键的合规依据和安全溯源能力,有助于加强管理员对系统操作的监控和审计,确保系统数据的安全性和合规性。
历史会话
可以查看在线会话、历史会话,一个最实用的功能就是回放和下载,回放当时的执行结果
回放
总结
通过本教程,你已经掌握了如何安装和配置开源堡垒机 JumpServer。在日常的安全运维中,JumpServer 可以帮助企业集中管理、审计和控制远程访问,提升安全性并增强审计追溯能力。如果遇到问题,可以参考本文的常见问题部分,或查阅官方文档进行进一步的配置与调优。
