从零搭建JumpServer

简介

堡垒机是网络安全产品，用来管理服务器，完成服务器的认证、授权、账号管理和审计。

JumpServer，是一款开源免费的堡垒机产品，本文介绍如何搭建 JumpServer。

准备

我在本地使用 VMWare，创建三台虚拟机，其中一台用来搭建 JumpServer，另外两台作为服务器资产用于管理。

需要注意，搭建 JumpServer 的服务器硬件要求4核8G，下面是我 jumpserver 服务器的硬件配置。

虚拟机启动后，关闭防火墙，避免产生网络问题。

# 关闭防火墙systemctl stop firewalld# 关闭防火墙自启动systemctl disable firewalld

搭建

准备工作完成后，开始搭建。

（1）下载安装包

访问官网（https://www.jumpserver.org/）下载最新的安装包（https://community.fit2cloud.com/#/products/jumpserver/downloads）。

下载下来，上传到需要搭建 JumpServer 的服务器上，解压。

（2）安装

进入根目录，查看README.md文档，可见安装命令是./jmsctl.sh install。

执行，完成 JumpServer 所需环境的搭建。

JumpServer 是用 docker 容器运行的，这一步甚至会帮你搭个 Docker 环境。

期间会询问你是否需要支持IPv6？是否需要扩展数据库？是否要更换页面端口等等选项，可根据需要自行选择。

（3）启动

安装完成后，贴心地提示我们启动命令和页面访问地址及账号密码。

执行启动命令。

打开浏览器，输入服务器地址访问 JumpServer 后台。出现登录界面表明部署完成。

如果无法访问，依次检查以下：

• 服务器防火墙是否未关闭；

• 浏览器地址是否以“https”访问了，如果是，需去掉“s”；

• 默认端口是80，如果安装期间更换了，需指定端口访问，如 http://192.168.101.12:8090;

使用

（1）登录

使用默认账户admin/ChangeMe登录。

登录成功后，需重置密码。

重置密码后成功登录。

（2）添加用户

添加一个 JumpServer 用户，如下，填写完击提交。

（3）添加资产

把虚拟机中的两台服务器添加到 JumpServer 中。

填写完，点提交。

添加完成后，可点右侧的测试，试下网络是否连通。

把另外一台服务器也添加进来。

（4）资产授权

将这两台服务器的访问权限分配给前面创建的xiaohe账户，填写完点提交。

接下来，用xiaohe账户登录 JumpServer，登录后提示需重置密码，使用重置后的密码登录后，如下。

菜单比管理员账户的少很多，且只有控制台模块。

打开连接资产，选择某台服务器进行连接。下面这里直接点击连接。

进入命令终端。

可以在左侧资产列表，点击，连接新的服务器。

（5）命令过滤

有时需要保护服务器，避免运维或程序员敲危险命令。我们可以在这里做命令过滤，过滤危险命令。

如下，点提交，先创建一个命令过滤的命令组。

再创建一个命令过滤规则，关联刚刚创建的命令组。

在此之后连接（资产服务器）的用户，如果敲了被标记的危险命令，就会被拒绝执行（拒绝执行还是警告可在上面的过滤规则中设置）。

（6）审计

我认为 JumpServer 最牛逼的功能在于审计，这里记录了用户对资产的所有操作。

如下，是管理员账户才能查看到的审计台。

值得注意的是，这里记录了刚刚xiaohe用户敲了一条危险命令。

点击会话命令可查看详情。

点击会话，甚至可以对该会话进行快速干预，很牛逼了。

• 终断：强制让该会话断开；

• 监控：实时查看该用户的动作；

当该会话断开后，也就是使用者那边断开连接，没在用了。还能回放该会话，留下“犯罪证据”。

参考

https://www.bilibili.com/video/BV1jDrBYmEjo