mirror of https://github.com/jumpserver/jumpserver
127 lines
4.5 KiB
Markdown
127 lines
4.5 KiB
Markdown
|
快速安装
|
|||
|
------
|
|||
|
####环境
|
|||
|
CentOS 6.x x86_64
|
|||
|
iptables stop
|
|||
|
selinux disable
|
|||
|
|
|||
|
|
|||
|
####开始
|
|||
|
**1. 安装git**
|
|||
|
|
|||
|
> yum -y install git
|
|||
|
|
|||
|
**2. 下载jumpserver**
|
|||
|
|
|||
|
> git clone https://github.com/ibuler/jumpserver.git
|
|||
|
|
|||
|
**3. 执行快速安装脚本**
|
|||
|
|
|||
|
> cd jumpserver/install && python install.py
|
|||
|
|
|||
|
|
|||
|
*根据提示输入相关信息,完成安装,完成安装后,请访问web,继续查看后续文档*
|
|||
|
|
|||
|
|
|||
|
|
|||
|
名词解释
|
|||
|
------
|
|||
|
|
|||
|
|
|||
|
* **用户** 用户是授权和登陆的主体,将来为每个员工建立一个账户,用来登录跳板机,
|
|||
|
将资产授权给该用户,查看用户登陆记录命令历史等
|
|||
|
|
|||
|
* **用户组** 多个用户可以组合成用户组,为了方便进行授权,可以将一个部门或几个用户
|
|||
|
组建成用户组,在授权中使用组授权,该组中的用户拥有所有授权的主机权限
|
|||
|
|
|||
|
* **资产** 资产通常是我们的服务器、网络设备等,将资产授权给用户,用户则会有权限登
|
|||
|
录资产,执行命令等
|
|||
|
|
|||
|
* **管理账户** 添加资产时需要添加一个管理账户,该账户是该资产上已有的有管理权限的用户,
|
|||
|
如root,或者有 NOPASSWD: ALL sudo权限的用户,该管理账户用来向资产推送系统用户,
|
|||
|
为系统用户添加sudo,获取资产的一些硬件信息
|
|||
|
|
|||
|
* **资产组** 同用户组,是资产组成的集合,为了方便授权
|
|||
|
|
|||
|
* **机房** 又称IDC,不解释
|
|||
|
|
|||
|
* **Sudo** 这里的sudo其实是Linux中的sudo命令别名,一个sudo别名包含多个命令,
|
|||
|
系统用户关联sudo就代表该系统用户有权限sudo执行这些命令
|
|||
|
|
|||
|
* **系统用户** 系统用户是服务器上建立的一些真实存在的可以ssh登陆的用户,如 dev,
|
|||
|
sa, dba等,系统用户可使用jumpserver推送到服务器上,也可以利用自己公司
|
|||
|
的工具进行推送,授权时将用户、资产、系统用户关联起来则表明用户有权限登陆该资产的
|
|||
|
这个系统用户 如:用户 **小明** 以 **dev** 系统用户登陆 **172.16.1.1**资产
|
|||
|
|
|||
|
* **授权规则** 授权规则是将 **资产** **系统用户** 和 **用户** 关联起来,用来完成授权。
|
|||
|
这样用户就可以以某个系统用户账号登陆资产
|
|||
|
|
|||
|
* **日志审计**
|
|||
|
* **在线** 查看当前在线的用户(非web在线),可以监控用户的命令执行,强制结束用户
|
|||
|
登录。
|
|||
|
* **登录历史** 查看以往用户的登录历史,可以查看用户登陆操作的命令,可以回放用户
|
|||
|
执行命令的录像
|
|||
|
* **命令记录** 查看用户批量执行命令的历史,包含执行命令的主机,执行的命令,执行的结果
|
|||
|
|
|||
|
* **上传下载** 查看用户上传下载文件的记录
|
|||
|
|
|||
|
|
|||
|
快速开始
|
|||
|
------
|
|||
|
|
|||
|
##### 1. 添加用户
|
|||
|
**用户管理 - 查看用户 - 添加用户** 填写基本信息,完成用户添加
|
|||
|
|
|||
|
用户添加完成后,根据提示记住用户账号密码,换个浏览器登录下载key,
|
|||
|
ssh登录jumpserver测试
|
|||
|
|
|||
|
##### 2. 添加资产
|
|||
|
**资产管理 - 查看资产 - 添加资产** 填写基本信息,完成资产添加
|
|||
|
|
|||
|
##### 3. 添加sudo
|
|||
|
**授权管理 - Sudo - 添加别名** 输入别名名称和命令,完成sudo添加
|
|||
|
|
|||
|
##### 4. 添加系统用户
|
|||
|
**授权管理 - 系统用户 - 添加** 输入基本信息,完成系统用户添加
|
|||
|
|
|||
|
##### 5. 推送系统用户
|
|||
|
**授权管理 - 推送** - 选择需要推送的资产或资产组完成推送
|
|||
|
|
|||
|
推送只支持服务器,使用密钥是指用户从跳板机跳转时使用key,反之使用密码,
|
|||
|
授权时会检查推送记录,如果没有推送过则无法完成系统用户在该资产上的授权。
|
|||
|
如果资产时网络设备,请不要选择密码和秘钥,模拟一下推送,目的是为了生成
|
|||
|
推送记录。
|
|||
|
|
|||
|
##### 6. 添加授权规则
|
|||
|
**授权管理 - 授权规则 - 添加规则** 选择刚才添加的用户,资产,系统用户完成授权
|
|||
|
|
|||
|
##### 7. 测试登录
|
|||
|
**用户下载key** 登录跳板机,会自动运行connect.py,根据提示登录服务器
|
|||
|
|
|||
|
**用户登陆web** 查看授权的主机,点击后面的链接,测试是否可以登录服务器
|
|||
|
|
|||
|
##### 8. 监控和结束会话
|
|||
|
**日志审计 - 在线** 查看当前登录的用户登录情况,点击监控查看用户执行的命令,
|
|||
|
点击阻断,结束用户的会话
|
|||
|
|
|||
|
##### 9. 查看历史记录
|
|||
|
**日志审计 - 登录历史** 查看登录历史,点击统计查看命令历史,点击回放查看录像
|
|||
|
|
|||
|
##### 10. 执行命令
|
|||
|
同7 测试命令的执行,命令记录查看 批量执行命令的日志
|
|||
|
|
|||
|
##### 11. 上传下载
|
|||
|
同7 测试文件的上传下载,日志审计 - 上传下载 查看上传下载记录
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|