摘要:五測試驗證在前面的配置步驟操作完畢后,便可以進行一些常規(guī)功能驗證,以此來加深對系統(tǒng)的了解,這些功能測試點有資產(chǎn)連接測試用戶授權終端在線會話命令記錄等功能。
一、背景
筆者最近想起此前公司使用過的堡壘機系統(tǒng),覺得用的很方便,而現(xiàn)在的公司并沒有搭建此類系統(tǒng),想著以后說不定可以用上;而且最近也有點時間,因此來了搭建堡壘機系統(tǒng)的興趣,在搭建過程中參考了比較多的文檔,其中最詳細的還是官方文檔,地址如下所示:
Jumpserver 文檔
二、操作概要1. 系統(tǒng)運行 2. 配置入門 3. 測試驗證三、系統(tǒng)運行
在官方文檔中安裝堡壘機有很多種方法,這讓筆者有些糾結,另外而且在不同系統(tǒng)中安裝方法也不一致,不過正在徘徊不定時,發(fā)現(xiàn)一種通用的安裝方法,便是采用docker進行安裝,因此本文中筆者將以docker安裝為例
3.1 下載鏡像在docker官方鏡像庫當中并沒有收錄jumpserver,因此下載鏡像命令如下所示:
docker pull registry.jumpserver.org/public/jumpserver:1.0.0
下載過程可能比較慢,筆者大約花費了14分鐘才將其下載完成,下載完成后結果如下所示
1.0.0: Pulling from public/jumpserver af4b0a2388c6: Pull complete aa66a3d10fd2: Pull complete 1d4c6a27f2ac: Pull complete 2490267572de: Pull complete b00f1599768d: Pull complete 398fc903cdc3: Pull complete f8490bbfc09a: Pull complete 86d238b365f5: Pull complete 2cd3b1ef59b2: Pull complete 4a21434eeb73: Pull complete ae8cf3e909e0: Pull complete 7c440776471a: Pull complete 0a5e895f91af: Pull complete b86672241685: Pull complete af16a4945f95: Pull complete 0374e723cd6c: Pull complete e18b86849df9: Pull complete 648aa832cb74: Pull complete b52364a5c704: Pull complete Digest: sha256:0f26e439c492ac52cbc1926aa950a59730607c947c79557ab3da51bfc2c7b5d4 Status: Downloaded newer image for registry.jumpserver.org/public/jumpserver:1.0.03.2 運行鏡像
下載之后筆者需要將下載下來的容器運行起來,為了防止80端口被宿主機其他進程所占用,因此將容器端口映射到宿主機的8011上,運行命令如下所示:
docker run --name jms_server -d -p 8011:80 -p 2222:2222 registry.jumpserver.org/public/jumpserver:1.0.0
在參數(shù)當中因為有加入后臺運行參數(shù)-d,容器運行之后終端不會進入容器bash中,而且當命令執(zhí)行成功之后,docker將會返回容器ID,如果返回信息則可能出現(xiàn)了異常錯誤,正常返回結果如下所示
4709a7d85af28bf05a63fb3e42541a41c30edda6668fd54a446cfab006c35b9e3.3 運行檢查
容器運行之后,筆者需要對其進行檢測確保運行成功,檢查方式有兩個,首先觀察容器是否正常運行,然后是檢查堡壘機是否能被瀏覽器所訪問
首先通過如下命令可以查看當前正在運行的容器
docker ps
如果容器正常運行將會出現(xiàn)剛在筆者所運行的堡壘機容器ID,正常返回結果參考如下
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 4709a7d85af2 registry.jumpserver.org/public/jumpserver:1.0.0 "/opt/start_jms.sh" 8 minutes ago Up 8 minutes 443/tcp, 0.0.0.0:2222->2222/tcp, 0.0.0.0:8011->80/tcp jms_server
在返回結果當中可以看到之前docker返回的容器ID正處于運行狀態(tài),便可以確定容器運行正常,接著筆者還需要通過瀏覽器來檢測是否運行成功,使用瀏覽器打開如下地址
http://127.0.0.1:8011/
當瀏覽器出現(xiàn)如下界面時,則基本代表成功
四、配置入門在確定系統(tǒng)正常運行之后,接下來就可以對系統(tǒng)進行一些配置,堡壘機配置比較簡單,下面的配置是將是使用堡壘機最為基礎的一些配置,配置主要是添加一些資產(chǎn)進行管理,這便需要添加管理用戶、系統(tǒng)普通用戶、賬戶授權等操作。
4.1 登錄系統(tǒng)在前面的檢驗運行的截圖當中可以看到需要登錄,而賬號和密碼筆者并沒有在官方文檔中所看到,筆者隨手一嘗試,發(fā)現(xiàn)用戶名和密碼分別是admin與admin,如下圖所示
登錄成功之后,進入系統(tǒng)看到的界面如下圖所示
4.2 管理用戶接下來筆者需要添加一些資產(chǎn),添加資產(chǎn)的前提條件是有一個管理用戶,這個管理用戶是資產(chǎn)的最高權限賬戶,堡壘機之后會使用此賬戶來登錄并管理資產(chǎn),和獲取一些統(tǒng)計信息,筆者在資產(chǎn)管理->管理用戶列表中點擊創(chuàng)建系統(tǒng)用戶按鈕,便來到了創(chuàng)建管理用戶的頁面,如下圖所示
在表單中可以看見必須填寫用戶名,和認證所用的密碼或私鑰,按照真實情況去填寫,比如筆者的資產(chǎn)最高權限賬戶是song,密碼123456Ab,那么就如實填寫上去。
4.3 資產(chǎn)管理在添加管理用戶之后,便可以添加資產(chǎn)了,添加資產(chǎn)也非常的簡單,在資產(chǎn)列表點擊創(chuàng)建資產(chǎn)按鈕,便來到了添加資產(chǎn)的頁面,如下圖所示
添加資產(chǎn)需要填寫,資產(chǎn)的IP地址,以及ssh的端口號,以及選擇資產(chǎn)的操作系統(tǒng)類型,并且選擇用哪一個管理用戶
4.4 系統(tǒng)用戶在資產(chǎn)管理下還有一個系統(tǒng)用戶管理,這個系統(tǒng)用戶的使用場景是,有時候需要在很多個目標資產(chǎn)中創(chuàng)建一個普通賬戶,這時候肯定是十分麻煩;此時便可以通過堡壘機上的系統(tǒng)用戶管理來創(chuàng)建一個系統(tǒng)用戶;然后下發(fā)到目標資產(chǎn)中,這樣一來就不需要去目標主機一個個登錄然后去創(chuàng)建,因此非常方便,添加系統(tǒng)用戶如下圖所示
創(chuàng)建系統(tǒng)用戶需輸入需要創(chuàng)建的賬號,以及選擇認證的方式,默認為秘鑰方式,也可以將選擇框選中去掉,通過密碼來認證。
五、測試驗證在前面的配置步驟操作完畢后,便可以進行一些常規(guī)功能驗證,以此來加深對jumpserver系統(tǒng)的了解,這些功能測試點有 資產(chǎn)連接測試、用戶授權、Web終端、在線會話、命令記錄等功能。
5.1 連接測試連接測試的目的是檢查資產(chǎn)是否可以被堡壘機所訪問,可以在資產(chǎn)列表點擊資產(chǎn)名稱,便可以進入資產(chǎn)詳情頁面,右側有兩個按鈕,點擊刷新按鈕,正確配置的參考效果如下圖所示
如果能看到左側的硬件信息發(fā)生了變更,就代表此前配置的管理用戶沒有問題,否則會彈出錯誤提示框;
5.2 用戶授權當配置資產(chǎn)后,如果想在堡壘機中直接連接終端就還需要給用戶授權,授權分為兩個步驟,第一步是給web終端賬戶授權,在會話管理->終端管理,如下圖所示
第二步則是給用戶自己本身授權,在授權管理->資產(chǎn)權限->創(chuàng)建權限規(guī)則中做好相應配置,如下圖所示
5.3 web終端當給用戶授權之后,用戶便可以會話管理->Web終端中與系統(tǒng)進行交互,如下圖所示
5.4 在線會話有些時候想看誰在操作服務器,可以很輕松的通過在線會話功能來查看當前有哪些用戶在操作終端,在會話管理->在線會話列表中進行查看,如下圖所示
筆者覺得堡壘機最大的作用之一便是審計,如果想知道某個用戶在系統(tǒng)中執(zhí)行了那些命令,可以很方便的在會話管理->命令記錄中進行查看,如下圖所示
六、 圖書推薦如果對筆者的實戰(zhàn)文章較為感興趣,可以關注筆者新書《PHP Web安全開發(fā)實戰(zhàn)》,現(xiàn)已在各大平臺上架銷售,封面如下圖所示
作者:湯青松
微信:songboy8888
日期:2018-10-30
文章版權歸作者所有,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://systransis.cn/yun/29579.html
摘要:五測試驗證在前面的配置步驟操作完畢后,便可以進行一些常規(guī)功能驗證,以此來加深對系統(tǒng)的了解,這些功能測試點有資產(chǎn)連接測試用戶授權終端在線會話命令記錄等功能。 一、背景 筆者最近想起此前公司使用過的堡壘機系統(tǒng),覺得用的很方便,而現(xiàn)在的公司并沒有搭建此類系統(tǒng),想著以后說不定可以用上;而且最近也有點時間,因此來了搭建堡壘機系統(tǒng)的興趣,在搭建過程中參考了比較多的文檔,其中最詳細的還是官方文檔,地...
摘要:如何通過原理進行集群管控就是本文要解決的問題。只是需要在集群內(nèi)部部署一個持久的針對該能夠提供服務,其次該內(nèi)部應該自帶工具。需要查出具體的外網(wǎng)服務。配置中的配置和普通的遠程主機配置基本一至,不再贅述了。 提出一個問題往往比解決一個更重要。-- 愛因斯坦 1. 跳轉原理 Jumpserver是個好東西,特別是對于線上設備的管控,基本跳轉原理如下圖所示。詳細的系統(tǒng)設計,可以參考其文檔 ...
摘要:四會議流程會議流程入場老廣發(fā)展史中場休息董帥下一代互聯(lián)網(wǎng)堡壘機中場休息王鵬容器化部署環(huán)節(jié)五報名方式掃描二維碼加入六活動聯(lián)系電話老廣電話追馬電話王庸電話張堯七致謝感謝榮新科技提供場地感謝各位同仁的幫組 JumpServer開源堡壘機帝都首次線下圓桌會議 一、舉辦方: ? JumpServer開發(fā)團隊 ? Vfast 榮新科技 二、時間地點 ? 地點:北京市海淀區(qū)大鐘寺...
閱讀 2976·2021-10-15 09:41
閱讀 1634·2021-09-22 15:56
閱讀 2110·2021-08-10 09:43
閱讀 3283·2019-08-30 13:56
閱讀 1789·2019-08-30 12:47
閱讀 659·2019-08-30 11:17
閱讀 2777·2019-08-30 11:09
閱讀 2199·2019-08-29 16:19