• 跳板機概述

跳板機就是一臺服務器，開發或運維人員在維護程序中首先要統一登錄到這臺服務器，然后再登錄到目標設備進行維護和操作，

跳板機缺點：沒有實作對運維人員操作行為的控制和審計，使用跳板機的程序中還是會出現誤操作、違規操作導致的事故，一旦出現操作事故很難快速定位到原因和責任人；

• 堡壘機概述：

堡壘機，即在一個特定的網路環境下，為了保障網路和資料不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段實時收集和監控網路環境中每一個組成部分的系統狀態、安全事件、網路活動，以便集中報警、及時處理及審計定責，

• 總結：堡壘機位元板機多了實時收集、監控網路環境、集中報警等功能，

• Jumpserver 概述：

• Jumpserver 是一款使用 Python, Django 開發的開源跳板機系統, 為互聯網企業提供了認證，授權，審計，自動化運維等功能，JumpServer 現已支持管理 SSH、 Telnet、 RDP、 VNC 協議資產
• 官方網址：https://www.jumpserver.org/
• github 專案網址：https://github.com/jumpserver/jumpserver/releases

• JumpServer 2.12.1 環境要求:

• 注意：全新安裝的 Linux

• 需要連接 互聯網
  使用 root 用戶執行

• 快速開始

  僅需兩步快速安裝 JumpServer：

• 準備一臺 2核4G （最低）且可以訪問互聯網的 64 位 Linux 主機；
• 以 root 用戶執行如下命令一鍵安裝 JumpServer，
• 實驗環境
• CentOS 7.6 192.168.2.19 SElinux、Firewalld以及iptables 均為關閉狀態
• wget https://ghproxy.com/https://github.com/jumpserver/jumpserver/releases/download/v2.12.1/quick_start.sh | bash

• 查看 docker 運行狀態

• docker ps -a

• 打開瀏覽器訪問 http://192.168.2.19

• 默認 用戶名 密碼 admin

• 首次登陸會強制更新密碼

• jumpserver 平臺系統初始化

• 系統基本設定
• 這里要寫成自己真實的 URL 地址，不然后期用戶訪問不了，http://192.168.2.19，設定完成后，并點擊“提交”按鈕，

• 郵件設定

• 根據自己的實際情況填寫，完成點擊提交保存

• 用戶管理，添加用戶組，

• 用戶名即 Jumpserver 登錄賬號，用戶組是用于資產授權，當某個資產對一個用戶組授權后，這個用戶組下面的所有用戶就都可以使用這個資產了，角色用于區分一個用戶是管理員還是普通用戶，
• 點擊用戶管理 —> 查看用戶組 —> 創建--->提交

• 添加用戶

• 點擊用戶管理 —> 用戶串列 —> 創建用戶
• 其中，名稱是真實姓名，用戶名即 Jumpserver 登錄賬號，
• 這里選擇生成重置密碼鏈接，通過郵件發送給用戶，方式來重置新建用戶密碼
• 權限選擇為系統管理員

• 登陸郵箱查看

• 勾選我同意 ，提交

• 擴展：
  MFA，Multi-FactorAuthentication，即多因子認證，是一種簡單有效的安全認證方法，它能夠在用戶名和密碼之外，再增加一層保護，MFA 設備，又叫動態口令卡或 Token 卡，是提供這種安全認證方法的設備，
• MFA 設備如：
  硬體 MFA 設備
  硬體 MFA 設備如下圖所示，正面的 6 位數動態安全碼 30 秒更新一次，背面有該硬體 MFA 設備的序列號，

• 編輯資產樹添加節點
• 使用 admin 用戶登錄 jumpserver，選擇 資產管理 ----> 系統用戶 ---> 特權用戶
• 特權用戶為 root 或者擁有 sudo ‘NOPASSWD’ ALL 權限的普通用戶，生成環境推薦使用 sudo 用戶+SSH密鑰 認證

• 資產管理---->資產串列--->右鍵 創建節點

• 點擊提交后，大約20秒（視硬體、網路情況）左右會看到硬體資訊

• 如果看不到請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登錄到資產主機上，

• 創建授權規則

• 節點，對應的是資產，代表該節點下的所有資產，
• 用戶組，對應的是用戶，代表該用戶組下所有的用戶，
• 系統用戶，及所選的用戶組下的用戶能通過該系統用戶使用所選節點下的資產，
• 節點，用戶組，系統用戶是一對一的關系，所以當擁有 Linux、Windows 不同型別資產時，應該分別給 Linux 資產和 Windows 資產創建授權規則，

• 創建普通用戶

• 權限管理----資產授權----選擇 default test---創建

• 注：這一條授權的含意是： 只要是“test”組中的人，對節點“default--test"中的所有服務器，擁有“系統管理員用戶”的權限，
• 授權提交后，查看 192.168.2.4 是否創建用戶以及權限

• 普通 用戶 gf 擁有 sudo 權限

• 打開資產所在的節點：
  雙擊資產名字，就連上資產了：
  如果顯示連接超時，請檢查為資產分配的系統用戶用戶名和密鑰是否正確，是否正確選擇 Linux 作業系統，協議 ssh，埠 22，以及資產的防火墻策略是否正確配置等資訊，

• 使用 xshell 連接 jumpserver 管理服務器

• 查看歷史命令記錄

• 查看歷史會話并回放視頻

• 歷史會話

• 檔案管理功能

• 可以新建檔案夾，也可以上傳檔案到服務器，這些創建的檔案和上傳的檔案，都會存在目標服務器的/tmp 目錄下

• 作業中心
  任務串列作業是 Jumpserver 向其所管理下的資產發送的指令, 例如, 測驗資產可連接性、獲取資產硬體資訊、測驗管理用戶可連接性和測驗系統用戶可連接性等命令，默認展示最近 7 天的作業記錄，
  點擊作業名稱可以查看作業的具體詳情、作業的歷史版本以及作業執行的歷史記錄

• 批量命令
  可以通過該功能快速下發命令到資產, 目前僅支持能被 ansible 管理的資產, 要求 系統用戶 登陸方式為 自動登陸

• 使用 jumpserver 管理 mysql 資料庫

• 添加 Mysql 系統用戶，服務器需正確安裝、配置及啟動Mysql 服務

• 創建應用

• 應用授權

• 測驗，選擇會話管理，會看到左側有剛才授權的應用

• 手動安裝

• CentOS 7.6 192.168.2.2
• 準備作業：
• 安裝 mariadb redis

• 首先安裝配置 mariadb
• vim /etc/yum.repos.d/mariadb.repo
  [mariadb]
  name = MariaDB
  baseurl=http://yum.mariadb.org/10.6/centos7-amd64
  gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
  gpgcheck=1
  enabled=1
• yum -y install mariadb-server mariadb wget gcc epel-release git MariaDB-shared mariadb-devel
• systemctl enable mariadb --now
• mysql
• >alter user 'root'@'localhost' identified by '123456';
  flush privileges;

  create database jumpserver default charset 'utf8' collate 'utf8_bin';
  grant all on jumpserver.* to 'jumpserver'@'%' identified by 'PASSWORD';

  flush privileges;
• systemctl restart mariadb

• 安裝 redis
• yum -y install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
• 使用 remi repository 源安裝 Redis
• yum --enablerepo=remi install -y redis
• vim /etc/redis.conf
• 修改如下：
  bind 192.168.2.2
  requirepass PASSWORD
• 啟動 Redis
• systemctl enable redis.service --now

• 安裝 jumpserver
• cd /opt
• wget https://github.com/jumpserver/installer/releases/download/v2.12.1/jumpserver-installer-v2.12.1.tar.gz
• tar -xf jumpserver-installer-v2.12.1.tar.gz
• cd jumpserver-installer-v2.12.1

• vim config-example.txt
  # 以下設定如果為空系統會自動生成隨機字串填入
  ## 遷移請修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 為原來的設定
  ## 完整引數檔案 https://docs.jumpserver.org/zh/master/admin-guide/env/

  ## 安裝配置, 可以使用華為云加速下載, arm64 用戶需要注釋掉 DOCKER_IMAGE_PREFIX
  # DOCKER_IMAGE_PREFIX=swr.cn-south-1.myhuaweicloud.com
  VOLUME_DIR=/opt/jumpserver
  DOCKER_DIR=/var/lib/docker
  SECRET_KEY=PASSWORD
  BOOTSTRAP_TOKEN=PASSWORD
  LOG_LEVEL=ERROR

  ## MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置資料庫, 請輸入正確的 MySQL 資訊
  ##根據自己的實際情況設定
  USE_EXTERNAL_MYSQL=1
  DB_HOST=192.168.2.2
  DB_PORT=3306
  DB_USER=jumpserver
  DB_PASSWORD=PASSWORD
  DB_NAME=jumpserver

  ## Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置資料庫, 請輸入正確的 Redis 資訊
  ##根據自己的實際情況設定
  USE_EXTERNAL_REDIS=1
  REDIS_HOST=192.168.2.2
  REDIS_PORT=6379
  REDIS_PASSWORD=PASSWORD

  ## Compose 專案設定, 如果 192.168.250.0/24 網段與你現有網段沖突, 請修改然后重啟 JumpServer
  COMPOSE_PROJECT_NAME=jms
  COMPOSE_HTTP_TIMEOUT=3600
  DOCKER_CLIENT_TIMEOUT=3600
  DOCKER_SUBNET=192.168.250.0/24

  ## IPV6 設定, 容器是否開啟 ipv6 nat, USE_IPV6=1 表示開啟, 為 0 的情況下 DOCKER_SUBNET_IPV6 定義不生效
  USE_IPV6=0
  DOCKER_SUBNET_IPV6=2001:db8:10::/64

  ## Nginx 配置, USE_LB=1 表示開啟, 為 0 的情況下, HTTPS_PORT 定義不生效
  HTTP_PORT=80
  SSH_PORT=2222
  RDP_PORT=3389

  USE_LB=0
  HTTPS_PORT=443

  ## Task 配置, 是否啟動 jms_celery 容器, 單節點必須開啟
  USE_TASK=1

  ## XPack, USE_XPACK=1 表示開啟, 開源版本設定無效
  USE_XPACK=0

  # Core 配置, Session 定義, SESSION_COOKIE_AGE 表示閑置多少秒后 session 過期, SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示關閉瀏覽器即 session 過期
  # SESSION_COOKIE_AGE=86400
  SESSION_EXPIRE_AT_BROWSER_CLOSE=true

  # Koko Lion XRDP 組件配置
  CORE_HOST=http://core:8080

  # 額外的配置
  CURRENT_VERSION=

• ./jmsctl.sh install
  

  

  

  

  

  
• ./jmsctl.sh start 啟動 restart 重啟 stop 停止 upgrade 更新