Jumpserver 是一款由python编写完全开源的跳板机.docxVIP

Jumpserver是一款由python编写完全开源的跳板机(堡垒机)系统，实现了跳板机应有的功能。基于ssh协议来管理，客户端无需安装agent。此文简要介绍实际操作时，简单配置过程。

Jumpserver基于CentOS7安装，可参考??\t/content/20/0331/10/_blankCentOS7一步步安装Jumpserver堡垒机（官方教程版）

创建Jumpserver用户

1.点击页面左侧用户列表菜单下的用户列表,进入用户列表页面

2.点击页面左上角创建用户按钮,进入创建用户页面,(也可以通过右上角导入模版进行用户导入)

3.其中,用户名即Jumpserver登录账号(具有唯一性,不能重名)。名称为页面右上角用户标识(可重复)

4.成功提交用户信息后,Jumpserver会发送一条设置用户密码的邮件到您填写的用户邮箱

5.点击邮件中的设置密码链接,设置好密码后,您就可以用户名和密码登录Jumpserver了。

6.用户首次登录Jumpserver,会被要求完善用户信息,按照向导操作即可。

添加用户

编辑资产树并创建资产

节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作

注：如果有linux资产和windows资产,建议先建立Linux节点与Windows节点,不然授权时不好处理

资产树

点击页面左侧的资产管理菜单下的资产列表按钮,查看当前所有的资产列表。

点击页面左上角的创建资产按钮,进入资产创建页面,填写资产信息。

IP地址和管理用户要确保正确,确保所选的管理用户的用户名和密码能牢靠地登录指定的IP主机上。

资产的系统平台也务必正确填写。公网IP信息只用于展示,可不填,Jumpserver连接资产使用的是IP信息。

添加资产

资产创建信息填写好保存之后,ssh协议资产可测试资产是否能正确连接,其他协议暂不支持

注：被连接资产需要python组件,且版本大于等于2.6,Ubuntu等资产默认不允许root用户远程ssh登录,请自行处理

如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用SSH从Jumpserver主机正确登录到资产主机上

创建管理用户

管理用户是资产上的root,或拥有NOPASSWD:ALLsudo权限的用户,Jumpserver使用该用户来推送系统用户、获取资产硬件信息等。Windows或其它硬件可随意设置一个

名称不能重复

ssh私钥如果私钥有密码,请把key的密码填在密码栏上,目前仅支持RSADSA格式私钥

管理用户

创建系统用户

系统用户是Jumpserver跳转登录资产时使用的用户,用户使用该用户登录资产

自动生成密码、自动推送、Sudo等功能需要对应资产的管理用户是且有root权限,否则自动推送失败

ssh协议的Sudo栏设定用户的sudo权限

ssh协议如果创建的系统用户已在资产上面存在,推送将会覆盖掉原用户的home目录权限(注:替换成700权限)

ssh协议的ssh私钥如果私钥有密码,请把key的密码填在密码栏上,目前仅支持RSADSA格式私钥

这里简单举几个sudo设置例子

Sudo/bin/su#当前系统用户可以免sudo密码执行sudosu命令Sudo/usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail当前系统用户可以免sudo密码执行gitphpcatmorelesstailSudo!/usr/bin/yum#当前系统用户不可以执行sudoyum命令

此处的权限应该根据使用用户的需求汇总后定制,原则上给予最小权限即可

系统用户创建时,如果选择了自动推送Jumpserver会使用Ansible自动推送系统用户到资产中,root用户不支持推送

如果资产(交换机、Windows)不支持Ansible,请去掉自动生成密钥、自动推送勾选。手动填写资产上已有的账号及账号密码

如果想让用户登录资产时自己输入密码,可以在创建系统用户时选择手动登录

系统用户

创建授权规则

名称,授权的名称,不能重复

用户和用户组二选一,不推荐即选择用户又选择用户组

资产和节点二选一,选择节点会包含节点下面的所有资产

系统用户,及所选的用户或用户组下的用户能通过该系统用户使用所选节点或者节点下的资产

用户(组),资产(节点),系统用户是一对一的关系,所以当拥有Linux、Windows不同类型资产时,应