搭建jumperserver堡壘機管理萬臺服務(wù)器-2

1 Jumpserver堡壘機概述-部署Jumpserver運行環(huán)境

2 安裝Coco組件

3 安裝Web-Terminal前端-Luna組件-配置Nginx整合各組件

4 jumpserver平臺系統(tǒng)初始化

5 實戰(zhàn)：使用jumpserver 管理數(shù)萬臺服務(wù)器

部署準(zhǔn)備：

序號	服務(wù)器名	IP	角色
1	k5	10.27.17.62	jumbserver 、redis、mariadb、koko、Web Terminal
2

4.1 jumpserver平臺系統(tǒng)初始化

4.2 配置郵件發(fā)送服務(wù)器

成功后，需要點 “提交”

注：配置完后，需要重啟一下服務(wù)。不然后期創(chuàng)建用戶，收不到郵件。

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms stop all -d

(py3) [root@k5 jumpserver]# /opt/jumpserver/jms start all -d

更新設(shè)置成功, 請手動重啟程序

如果未開通自己郵箱要開啟smtp和pop3服務(wù)須要自己開啟一下

開啟POP3/SMTP/IMAP服務(wù)方法：

4.5 使用jumpserver 管理王者榮耀數(shù)萬臺游戲服務(wù)器

4.5.1 用戶管理

1、添加用戶組。

用戶名即 Jumpserver 登錄賬號。用戶組是用于資產(chǎn)授權(quán)，當(dāng)某個資產(chǎn)對一個用戶組授權(quán)后，這個用戶組下面的所有用戶就都可以使用這個資產(chǎn)了。角色用于區(qū)分一個用戶是管理員還是普通用戶。

點擊用戶管理 —> 查看用戶組 —> 添加用戶組

2、添加用戶

點擊用戶管理 —> 用戶列表 —> 創(chuàng)建用戶

其中，名稱是真實姓名，用戶名即 Jumpserver 登錄賬號。

成功提交用戶信息后，Jumpserver 會發(fā)送一條設(shè)置"用戶密碼"的郵件到您填寫的用戶郵箱。

設(shè)置ssh密鑰，用戶自己生成SSH 密鑰，方便后期登錄：我在自己的另一臺linux上，使用hss用戶生成自己的ssh密鑰。

(py3) [root@k5 nginx]# useradd hss123

(py3) [root@k5 nginx]# echo 123456|passwd --stdin hss123

更改用戶 hss123 的密碼 。

passwd：所有的身份驗證令牌已經(jīng)成功更新。

(py3) [root@k5 nginx]# su - hss123

Attempting to create directory /home/hss123/perl5

[hss123@k5 ~]$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key (/home/hss123/.ssh/id_rsa):

Created directory '/home/hss123/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/hss123/.ssh/id_rsa.

Your public key has been saved in /home/hss123/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:kma1W3qKlbAOTiKAI0WektjJennKfg9T3K7cTzHcC5M hss123@k5

The key's randomart image is:

+---[RSA 2048]----+

| . |

|.* o |

|+ B . |

|.+ . . + o o |

|* o . O S E . |

|o+ o + = = = . |

|. + = . * o . |

| o +.* = + |

| ....* o.. |

+----[SHA256]-----+

[hss123@k5 ~]$

[hss123@k5 ~]$ cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC5J9+wH2j1Pr0zTGCTiSM3ny8lfBE+CIeD1XfdD1RSQlhribNV4Fs0/fftEol0RV25wFCPtiVjlJ3cKwr8UmYBRCH9Shhq2RtJabyeDvXwCREHHjg8rPA24+FC2jwxQlHby1q8RNV2S8i+dK9ss+nvaFvCjU0Jc6Z1QtjB01ypTiY7pPHJHscEf5KO8Gazh0SFtrXzJVPWatYO7OtjBdcYMU4WdHpi78TEJd1jRa+0ei1WYQiqR0NeqhO+5/z/lJiUo7zwaojoPyaIu3JSP5NBclHBLlHqBlb//QGvf+4mv+7/jkzO2bI5x+lNK/X8s41TdqMR+GR5v5glgYSnWAWf hss123@k5

4.5.2 編輯資產(chǎn)樹添加節(jié)點

節(jié)點不能重名，右擊節(jié)點可以添加、刪除和重命名節(jié)點，以及進(jìn)行資產(chǎn)相關(guān)的操作。

4.5.3 創(chuàng)建管理用戶

Jumpserver里各個用戶的說明：

管理用戶是服務(wù)器的 root，或擁有 NOPASSWD: ALL sudo 權(quán)限的用戶，Jumpserver 使用該用戶來推送系統(tǒng)用戶、獲取資產(chǎn)硬件信息等。

前提，你的西南片區(qū)-服務(wù)器節(jié)點中所有的服務(wù)器root用戶密碼都是：123這樣就可以使用此root用戶管理服務(wù)器。

4.5.4 創(chuàng)建系統(tǒng)用戶

系統(tǒng)用戶是 Jumpserver 跳轉(zhuǎn)登錄資產(chǎn)時使用的用戶，可以理解為登錄資產(chǎn)用戶， Jumpserver使用系統(tǒng)用戶登錄資產(chǎn)。

系統(tǒng)用戶的 Sudo 欄填寫允許當(dāng)前系統(tǒng)用戶免sudo密碼執(zhí)行的程序路徑，如默認(rèn)的/sbin/ifconfig，意思是當(dāng)前系統(tǒng)用戶可以直接執(zhí)行 ifconfig 命令或 sudo ifconfig 而不需要輸入當(dāng)前系統(tǒng)用戶的密碼，執(zhí)行其他的命令任然需要密碼，以此來達(dá)到權(quán)限控制的目的。

# 此處的權(quán)限應(yīng)該根據(jù)使用用戶的需求匯總后定制，原則上給予最小權(quán)限即可。

系統(tǒng)用戶創(chuàng)建時，如果選擇了自動推送 Jumpserver 會使用 Ansible 自動推送系統(tǒng)用戶到資產(chǎn)中，如果資產(chǎn)(交換機、Windows )不支持 Ansible, 請手動填寫賬號密碼。

Linux 系統(tǒng)協(xié)議項務(wù)必選擇 ssh 。如果用戶在系統(tǒng)中已存在，請去掉自動生成密鑰、自動推送勾選。

增加一個：檢查服務(wù)器運行狀態(tài)的用戶： user 權(quán)限： /sbin/ifconfig,/usr/bin/top,/usr/bin/free

再加一個： 系統(tǒng)管理員用戶：manager

4.5.5 創(chuàng)建資產(chǎn)

點擊頁面左側(cè)的“資產(chǎn)管理”菜單下的“資產(chǎn)列表”按鈕，查看當(dāng)前所有的資產(chǎn)列表。

點擊頁面左上角的“創(chuàng)建資產(chǎn)”按鈕，進(jìn)入資產(chǎn)創(chuàng)建頁面，填寫資產(chǎn)信息。

IP 地址和管理用戶要確保正確，確保所選的管理用戶的用戶名和密碼能"牢靠"地登錄指定的 IP 主機上。資產(chǎn)的系統(tǒng)平臺也務(wù)必正確填寫。公網(wǎng) IP 信息只用于展示，可不填，Jumpserver 連接資產(chǎn)使用的是 IP 信息。

開啟虛擬機hero5, 這臺機器當(dāng)成資源添加平臺中。

hero5-西南片區(qū) 10.27.17.35

如果資產(chǎn)不能正常連接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH 從 Jumpserver 主機正確登錄到資產(chǎn)主機上。

4.5.6 網(wǎng)域列表

網(wǎng)域功能是為了解決部分環(huán)境無法直接連接而新增的功能，原理是通過網(wǎng)關(guān)服務(wù)器進(jìn)行跳轉(zhuǎn)登錄。

這個功能，一般情況不用到。

4.5.7 創(chuàng)建授權(quán)規(guī)則

節(jié)點，對應(yīng)的是資產(chǎn)，代表該節(jié)點下的所有資產(chǎn)。

用戶組，對應(yīng)的是用戶，代表該用戶組下所有的用戶。

系統(tǒng)用戶，及所選的用戶組下的用戶能通過該系統(tǒng)用戶使用所選節(jié)點下的資產(chǎn)。

節(jié)點，用戶組，系統(tǒng)用戶是一對一的關(guān)系，所以當(dāng)擁有 Linux、Windows 不同類型資產(chǎn)時，應(yīng)該分別給 Linux 資產(chǎn)和 Windows 資產(chǎn)創(chuàng)建授權(quán)規(guī)則。

注：這一條授權(quán)的含意是： 只要是“西南片區(qū)運維部門”組中的人，對節(jié)點“西南片區(qū)-服務(wù)器”中的所有服務(wù)器，擁有“系統(tǒng)管理員用戶”的權(quán)限。

授權(quán)成功后，你自己手動到hero5,6,7上查看：

[root@k6 ~]# tail -n 5 /etc/passwd
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
chrony:x:994:992::/var/lib/chrony:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
manager:x:1000:1000::/home/manager:/bin/bash

#自動推送一個帳號，自動在資產(chǎn)服務(wù)器上創(chuàng)建系統(tǒng)用戶

[root@k6 ~]# visudo

4.5.8 用戶使用資產(chǎn)

登錄 Jumpserver

創(chuàng)建授權(quán)規(guī)則的時候，選擇了用戶組，所以這里需要登錄所選用戶組下面的用戶才能看見相應(yīng)的資產(chǎn)。

使用無痕瀏覽器，再打開一個窗口，進(jìn)行登錄：

打開資產(chǎn)所在的節(jié)點：

雙擊資產(chǎn)名字，就連上資產(chǎn)了：

如果顯示連接超時，請檢查為資產(chǎn)分配的系統(tǒng)用戶用戶名和密鑰是否正確，是否正確選擇 Linux 操作系統(tǒng)，協(xié)議 ssh，端口22，以及資產(chǎn)的防火墻策略是否正確配置等信息。

4.5.9 在xshell字符終端下連接jumpserver管理服務(wù)器

更多內(nèi)容，可以參數(shù)官方手冊：http://docs.jumpserver.org/zh/docs/step_by_step.html

總結(jié)：

1、安裝時coco時，他默認(rèn)打開的連接端口是2222 ，剛開查看運行情況時，不會產(chǎn)生，在你加入了jumpserver后，會自動產(chǎn)生。

2、在安裝完成后，啟動JMS時，不會成功，會報一次錯，這個不重要，要么重啟一下服務(wù)器，要么等一會再啟動一次就OK了。

3、安裝完成后，可直接在xshell進(jìn)行連接，切換也比較快捷。

總結(jié)

以上是生活随笔為你收集整理的搭建jumperserver堡垒机管理万台服务器-2的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。