知方号

知方号

三、用户管理、资产管理、客户端登录jumpserver

三、用户管理、资产管理、客户端登录jumpserver

一、用户管理

有三种用户:

1、登录jumpserver的用户

在jumpserver用户管理中创建一个用户,创建提交后更新可设置密码。也可以在系统设置中设置邮件,通过发送邮件的方式设置密码。设置好后即可登录。登录web界面的,以及命令行界面的。

2、管理用户

jumpserver有一个自动化批量执行命令的功能,执行这个命令的用户,也可以在远程机器上创建一个系统用户,所以这个用户把它叫做管理用户。创建一个管理用户jumpserver,管理用户最好用私钥。

# cd ~/.ssh# ssh-keygen -f jumpserver    //-f指定密钥的名字[root@CLAY .ssh]# lsauthorized_keys  id_rsa  id_rsa.pub  jumpserver  jumpserver.pub  known_hosts[root@CLAY .ssh]# sz jumpserver   //把私钥下载再选择该私钥文件,如果私钥没有设密码,那jumpserver用户的密码处就留空,如果设置了密码,就填私钥的密码。

3、系统用户

登录每台机器的用户,通常情况下,和用户管理中列表里的用户保持一致,方便去管理。用户列表里的用户是登录jumpserver的,系统用户是登录到jumpserver里以后再跳到系统里去登录的用户。通过命令行界面登录后跳到系统中去的用户。创建一个系统用户,定义名称、用户名,选择自动登录。

二、资产管理

web界面,资产管理→资产列表

左侧的可以认为是主机组,在里面新建一个节点,这个节点就相当于公司里N多的业务,命名业务1,在业务1中来创建资产。

定义主机名、IP、管理用户,这个管理用户必须要到这台机器上去创建,提交。

# useradd jumpserver   [root@wbs ~]# ls -l /home/jumpserver/总用量 0

//这个jumpserver用户是每添加一台机器都要添加的用户。由于每增加一个节点,一个管理的机器都要添加用户比较麻烦,所以想一个办法,以后每购买一台新的阿里云机器也好,物理机也罢,上架初始化的时候就创建这个用户。

[root@wbs jumpserver]# cd /home/jumpserver/# mkdir .ssh# vi .ssh/authorized_keys

//到jumpserver那台机器上把之前生成的公钥复制过来cat ~/.ssh/jumpserver.pub,这样就可以通过密钥去连接对方机器的jumpserver用户了。

[root@CLAY .ssh]# ssh -i jumpserver jumpserver@192.168.149.133

//测试连接,ssh -i指定私钥,如果不需要输入密码即可登录到对方机器了,说明配置成功。

不成功的可能性:对方机器公钥的权限以及私钥的权限、SELinux。

管理用户必须要具有root的权限,使用sudo来实现。

两个方法:

1、jumpserver的UID设置成0,这种方法不太好。

2、给它设定sudo权限。

[root@wbs jumpserver]# visudo...## Allow root to run any commands anywherejumpserver ALL=(ALL)    NOPASSWD: ALL     //添加一行root    ALL=(ALL)       ALLuser1   ALL=(ALL)       /bin/ls,/bin/chown,/bin/chmod,/bin/tail,/bin/catuser2   ALL=(ALL)       ALL...

[root@wbs jumpserver]# su - jumpserver   //先登录到jumpserver上一次登录:六 10月 12 17:29:34 CST 2023从 192.168.149.131pts/1 上[jumpserver@wbs ~]$ sudo ls /root001  123.fifo  20shellanaconda-ks.cfg  logintest.fifo[jumpserver@wbs ~]$ sudo tail -5 /etc/shadowgitlab-prometheus:!!:18166::::::zhangsan:$6$tgTbTKHN$a9S7trCLv3X/GWYP5cM.RMReQ.cMbjbjrK/0c1HNAmuJNOmDXjaKjbG34QAhQGgTextVxa1jeSFaxMkX49qUt/:18170:0:99999:7:::saslauth:!!:18171::::::redis:!!:18172::::::jumpserver:!!:18181:0:99999:7:::sudo都执行成功了,说明没问题。先退出这儿。

到资产管理的主机中更新硬件信息,上方可以看到更新成功,实际上把这个任务交给了作业中心,再回到资产列表的主机中点进去看硬件信息是否是已经更新了。

系统用户,要把它下发到资产上去的:

web界面,权限管理→资产授权→创建授权规则,名称定义一个系统用户的名称,选择用户、资产、系统用户,提交。

把系统用户中的自动推送功能打开,刷新一下,再到主机中查看,# id zhangsan,即可看到推送到了系统。

三、客户端登录jumpserver

重新登录ssh终端下的jumpserver的机器,输入p,即可看到你的机器。输入对应的ID数字,即可直接登录。

# cd /home/zhangsan# ls -la   //看到有.ssh目录,进去可以看到有密钥,说明这是通过密钥登录进去的。总用量 12drwx------.  3 yaowei yaowei  74 10月 13 11:46 .drwxr-xr-x. 13 root   root   164 10月 13 11:43 ..-rw-r--r--.  1 yaowei yaowei  18 8月   3 2017 .bash_logout-rw-r--r--.  1 yaowei yaowei 193 8月   3 2017 .bash_profile-rw-r--r--.  1 yaowei yaowei 231 8月   3 2017 .bashrcdrwx------.  2 yaowei yaowei  29 10月 13 11:46 .ssh

再到web界面创建一个jumpserver本机的资产,本机的IP、本机的名字。

然后回到ssh终端创建jumpserver用户:

# useradd jumpserver# su - jumpserver[jumpserver@CLAY ~]$ mkdir .ssh$ chmod 700 .ssh$ vi .ssh/authorized_keys   $ chmod 600 .ssh/authorized_keys$ 登出[root@CLAY ~]# visudo...## Allow root to run any commands anywhereroot    ALL=(ALL)       ALLjumpserver ALL=(ALL)    NOPASSWD: ALL    //添加一行。[root@CLAY .ssh]# ssh -i jumpserver jumpserver@127.0.0.1   //测试登录

web界面,授权规则,把本机的资产更新增加到原来的规则中,或者创建新的授权规则都行。

再回到jumpserver的ssh终端中,重新连接一下,输入p,可以看到本机的资产和前面的资产两个,输入数字即可直接连接。

其他功能:

会话管理:

命令记录,可以看到用户执行的历史命令;

历史会话,可以视频回放用户操作的记录过程;

在线会话,可以看到当前正在连接的终端,如果终端它,正在写的内容将不会保存。

新开一个浏览器,用自己的用户登录,可以看到有web终端,点击进入,在左侧即可选择对应的业务登录进入。

文件管理,机器下的目录为/tmp目录,上传的文件都会在/tmp目录里。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至lizi9903@foxmail.com举报,一经查实,本站将立刻删除。

上一篇 没有了

下一篇没有了