技術文章 » CentOS7下設定使用JumpServer 堡壘機 (圖文教學)

CentOS7下設定使用JumpServer 堡壘機 (圖文教學)

2023-01-19 12:00:59

前面介紹瞭如何在《CentOS7下搭建JumpServer 堡壘機》,基於這篇文章的環境搭建過程,接著介紹安裝後的的功能設定使用。

  • 首次wbe登入,https://ip:80,預設賬號密碼:admin,admin;這裡自定義密碼修改:admin@123

 

 使用者管理項

建立系統角色

 

 

 建立使用者

 

建立使用者組

 

資產管理項

建立資產

  • 左側是資產樹,右擊「Default」可以新建、刪除、更改樹節點,授權資產也是以節點方式組織的,右側是屬於該節點下的資產。

 

 建立網域

  • 網域功能是為了解決部分環境(如:混合雲)無法直接連線而新增的功能,原理是通過閘道器伺服器進行跳轉登入。JMS => 網域閘道器 => 目標資產。

 

 建立系統使用者

  • 系統使用者 是JumpServer 登入資產時使用的賬號,如 root `ssh root@host`,而不是使用該使用者名稱登入資產(ssh admin@host)`;
  • 特權使用者 是資產已存在的, 並且擁有 高階許可權 的系統使用者, JumpServer 使用該使用者來 `推播系統使用者`、`獲取資產硬體資訊` 等;
  • 普通使用者 可以在資產上預先存在,也可以由 特權使用者 來自動建立。

 

  •  特權使用者 是資產已存在的, 並且擁有 高階許可權 的系統使用者, 如 root 或 擁有 `NOPASSWD: ALL` sudo 許可權的使用者。 JumpServer 使用該使用者來 `推播系統使用者`、`獲取資產硬體資訊` 等。

 

 命令過濾

  • 系統使用者支援繫結多個命令過濾器實現禁止輸入某些命令的效果;過濾器中可設定多個規則,在使用該系統使用者連線資產時,輸入的命令按照過濾器中設定的規則優先順序生效。
  • 例:首先匹配到的規則是「允許」,則該命令執行,首先匹配到的規則為「禁止」,則禁止該命令執行;如果最後未匹配到規則,則允許執行。

 

 

 

許可權管理

建立資產授權規則

 

 

 

測試命令過濾規則

 

 

 

 

去除web終端水印

 

 

重置Web登入密碼

  • 如果忘了密碼或者密碼過期,可以點選找回密碼通過郵件找回
  • 如果無法通過郵件找回,可以通過admin控制檯重置
  • 如果是admin使用者,可以通過JumpServer 宿主機上重置
[root@JumpServer ~]# docker exec -it jms_core /bin/bash
root@44c9b78172ce:/opt/jumpserver# cd /opt/jumpserver/apps
root@44c9b78172ce:/opt/jumpserver/apps# python manage.py shell
Python 3.8.16 (default, Dec 21 2022, 09:26:59) 
Type 'copyright', 'credits' or 'license' for more information
IPython 8.4.0 -- An enhanced Interactive Python. Type '?' for help.

In [1]: from users.models import User

In [2]: u = User.objects.get(username='admin')

In [3]: u.reset_password('admin@456')

In [4]: u.save()

In [5]: exit
root@44c9b78172ce:/opt/jumpserver/apps# exit
exit
# admin 為你要修改的賬戶名稱,password 為你要修改的密碼

登入頻繁賬號被鎖定

找管理員重置,管理員可以在對應使用者的個人頁面重置
或者通過下面的 shell 解決

docker exec -it jms_core /bin/bash
cd /opt/jumpserver/apps
python manage.py shell

from django.core.cache import cache
cache.delete_pattern('_LOGIN_BLOCK_*')
cache.delete_pattern('_LOGIN_LIMIT_*')

 其他問題

資產測試可連線性、更新硬體資訊 報 Permission denied 或者 Authentication failure
一般都是管理使用者賬戶密碼不正確

資產測試可連線性、更新硬體資訊 報 /usr/bin/python: not found
在一般是資產 python 未安裝或者 python 異常,一般出現在 ubuntu 資產上

系統使用者測試資產可連線性錯誤
確定系統使用者是否正確,如果系統使用者使用了自動推播,確保管理使用者正確
系統使用者設定為 root 的情況下,請關閉自動推播,並輸入正確的 root 密碼

Connect websocket server error
一般情況下 nginx 未設定 websocket 導致,根據反向代理檔案進行修改後重啟 nginx 即可

提示 timeout
# 手動 ssh 登入提示 timeout 的那臺伺服器
vi /etc/ssh/sshd_config
UseDNS no

# 重啟 JumpServer 伺服器的 docker
systemctl restart docker
docker restart jms_koko

至此,CentOS7下設定使用JumpServer 堡壘機的基本功能已完成。