CentOS7下配置使用JumpServer 堡壘機 (圖文教程)

上古南城發表於2023-01-19
CentOSServer

前面介紹瞭如何在《CentOS7下搭建JumpServer 堡壘機》,基於這篇文章的環境搭建過程,接著介紹安裝後的的功能配置使用。

  • 首次wbe登入,https://ip:80,預設賬號密碼:admin,admin;這裡自定義密碼修改:admin@123

 

 使用者管理項

建立系統角色

 

 

 建立使用者

 

建立使用者組

 

資產管理項

建立資產

  • 左側是資產樹,右擊“Default”可以新建、刪除、更改樹節點,授權資產也是以節點方式組織的,右側是屬於該節點下的資產。

 

 建立網域

  • 網域功能是為了解決部分環境(如:混合雲)無法直接連線而新增的功能,原理是透過閘道器伺服器進行跳轉登入。JMS => 網域閘道器 => 目標資產。

 

 建立系統使用者

  • 系統使用者 是JumpServer 登入資產時使用的賬號,如 root `ssh root@host`,而不是使用該使用者名稱登入資產(ssh admin@host)`;
  • 特權使用者 是資產已存在的, 並且擁有 高階許可權 的系統使用者, JumpServer 使用該使用者來 `推送系統使用者`、`獲取資產硬體資訊` 等;
  • 普通使用者 可以在資產上預先存在,也可以由 特權使用者 來自動建立。

 

  •  特權使用者 是資產已存在的, 並且擁有 高階許可權 的系統使用者, 如 root 或 擁有 `NOPASSWD: ALL` sudo 許可權的使用者。 JumpServer 使用該使用者來 `推送系統使用者`、`獲取資產硬體資訊` 等。

 

 命令過濾

  • 系統使用者支援繫結多個命令過濾器實現禁止輸入某些命令的效果;過濾器中可配置多個規則,在使用該系統使用者連線資產時,輸入的命令按照過濾器中配置的規則優先順序生效。
  • 例:首先匹配到的規則是“允許”,則該命令執行,首先匹配到的規則為“禁止”,則禁止該命令執行;如果最後未匹配到規則,則允許執行。

 

 

 

許可權管理

建立資產授權規則

 

 

 

測試命令過濾規則

 

 

 

 

去除web終端水印

 

 

重置Web登入密碼

  • 如果忘了密碼或者密碼過期,可以點選找回密碼透過郵件找回
  • 如果無法透過郵件找回,可以透過admin控制檯重置
  • 如果是admin使用者,可以透過JumpServer 宿主機上重置
[root@JumpServer ~]# docker exec -it jms_core /bin/bash
root@44c9b78172ce:/opt/jumpserver# cd /opt/jumpserver/apps
root@44c9b78172ce:/opt/jumpserver/apps# python manage.py shell
Python 3.8.16 (default, Dec 21 2022, 09:26:59) 
Type 'copyright', 'credits' or 'license' for more information
IPython 8.4.0 -- An enhanced Interactive Python. Type '?' for help.

In [1]: from users.models import User

In [2]: u = User.objects.get(username='admin')

In [3]: u.reset_password('admin@456')

In [4]: u.save()

In [5]: exit
root@44c9b78172ce:/opt/jumpserver/apps# exit
exit
# admin 為你要修改的賬戶名稱,password 為你要修改的密碼

登入頻繁賬號被鎖定

找管理員重置,管理員可以在對應使用者的個人頁面重置
或者透過下面的 shell 解決

docker exec -it jms_core /bin/bash
cd /opt/jumpserver/apps
python manage.py shell

from django.core.cache import cache
cache.delete_pattern('_LOGIN_BLOCK_*')
cache.delete_pattern('_LOGIN_LIMIT_*')

 其他問題

資產測試可連線性、更新硬體資訊 報 Permission denied 或者 Authentication failure
一般都是管理使用者賬戶密碼不正確

資產測試可連線性、更新硬體資訊 報 /usr/bin/python: not found
在一般是資產 python 未安裝或者 python 異常,一般出現在 ubuntu 資產上

系統使用者測試資產可連線性錯誤
確定系統使用者是否正確,如果系統使用者使用了自動推送,確保管理使用者正確
系統使用者設定為 root 的情況下,請關閉自動推送,並輸入正確的 root 密碼

Connect websocket server error
一般情況下 nginx 未配置 websocket 導致,根據反向代理文件進行修改後重啟 nginx 即可

提示 timeout
# 手動 ssh 登入提示 timeout 的那臺伺服器
vi /etc/ssh/sshd_config
UseDNS no

# 重啟 JumpServer 伺服器的 docker
systemctl restart docker
docker restart jms_koko

至此,CentOS7下配置使用JumpServer 堡壘機的基本功能已完成。

相關文章