2.jumpserver高版本-v2.28.6管理linux服务器资产

jumpserver高版本2.28.6对linux服务器资产的管理和使用

1.机器规划：

192.168.27.131    ——jumpserver堡垒机

192.168.27.132    ——linux资产机器1    主机名：node1

192.168.27.133    ——liunx资产机器2    主机名：node2

192.168.27.134    ——linux资产机器3    主机名：node3

2.安装jumpserver2.28.6堡垒机（略）（192.168.171.131上）

3.jumpserver的配置

1).创建用户组和用户(登录jumpserver的用户)（也可创建一个用户组和几个用户，将用户加入用户组，统一给组名资产授权）

创建用户组：创建两个：ops（运维管理组，拥有所有资产），develop（开发组，拥有部分资产：1台27.132）

创建用户组：登录堡垒机——用户管理——用户组——创建——起名:ops/develop——创建即可。

同理创建develop组，如下：

 创建用户：创建3个用户，shi1和shi2为开发，归类为develop组，创建manager归类为ops组

创建用户并设置密码且加入用户组：登录堡垒机——用户管理——用户列表——创建——起名:shi1和shi2——创建即可。  shi1用户名和密码：shi1/123456    shi2用户名和密码： shi2/456789  ,manager用户名和密码：manager/xxQQ2011

 

 

 注意：如果是管理员用户，角色是：系统管理员

 同理创建其他用户并且加入不同的组，创建好所有用户后如下：

 注意：manager用户的角色是系统管理员，如下：

测试创建的用户登录jumpserver
使用manager登录：

 同理使用shi1用户和shi2用户登录jumpserver，如下：

 

 测试登录完成后，切回admin管理员登录

2).创建管理用户或特权用户：（一般为root，用于在资产机器创建普通系统用户的用户）

创建管理用户或特权用户：（一般指的管理用户就是root，或者经过sudo提权和root权限一样的用户，能在被管理的资产机器中创建系统用户的用户，此处是root）

登陆堡垒机——资产管理——系统用户——特权用户——创建——填写管理用户或特权用户相关信息，root/123456（资产服务器真实的root用户和密码）也可使用秘钥，此处没用秘钥，使用的是用户名和密码，一样。点击提交，如下

 

点击提交，如下：

 

3).创建系统用户（用于登陆资产的普通系统用户）

（相当于堡垒机的管理用户root下发到资产机器时候，在资产机器上创建的用于登录资产机器的系统用户）

此处命名:    系统用户：deploy   密码：kTWYTXW67BHz (设置的密码也在sudo su时候用不上，不设置又不行)

注意： 创建系统用户时候，要么设置设置密码，要么使用自动推送公钥方式，两种都可，其中设置密码的，登录资产后，在sudo su时候，也不用输入设置的密码，可能是哪里默认弄成了免密切换，但如果不设置密码就登不上资产机器。（密钥和密码两种方式都可）

注意：创建系统用户时候，web页面的sudo处，填写的是sudo提权的命令,下发到资产机器后，该系统用户在资产机器上拥有的sudo提权的权限。

登陆堡垒机——资产管理——系统用户——普通用户——创建——linux选择ssh协议——填写信息:（名称： deploy 、用户名：deploy、 登陆方式：自动登陆、自动推送开启、自动生成密钥开启（或者输入一个系统用户密码） ）——提交即可。

 

 

 

 

4).创建添加linux服务器资产：（将需要加入堡垒机管理的机器添加到堡垒机）

(各登录jumpserver的普通用户对应自己的资产机器，通过管理用户，下发到各自资产机器上的系统用户，才能操作资产机器)

登陆堡垒机——资产管理——资产列表——在Default处，右击创建节点——创建资产分组—在相应分组创建对应资产(ip等)

分了两个组，ops管理组和develop业务组，组名如下：创建资产时候，ops组管理所有资产，develop组只能管理一台：132那台

创建节点——服务器分类的节点

 

 在节点上添加linux资产服务器，如下：

 

 

 

测试完能成功连接后，关闭即可。

 同理添加另外几台linux服务器，添加完成后，如下：

5).资产授权（管理登陆的堡垒机资产里虽能看到,但是堡垒机有些用户查看不到资产,因为没有给用户授权）

做一下授权，授权哪个普通用户能管理哪些资产机器：（让资产组和用户组对应起来）

分别创建两个用户组ops 和 develop的授权规则（授权规则名和用户组名分别一样，好区分），不同组的人员对应不同的业务机器。

登陆堡垒机——点击权限管理——资产授权——创建——填写信息（授权规则名称、用户组名、对应的资产节点组名、权限：全部、激活：开启）——提交。    如下：

ops组对所有资产有权限，develop组仅对131机器对应的资产组有权限,默认admin用户对所有资产有权限

 

 注意：运维管理用户对所有资产都有权限，可以将Default节点添加进来，另外系统用户选择多个，当登录资产时候可以显示选择相应的系统登录资产机器。

 

 

同理再创建一个资产授权，开发组develop对相应的某个资产机器有权限，如下：

 

 同理再创建一个资产授权，默认用户admin对所有资产有权限，如下：

 

 

 4.通过web界面验证各个用户的资产权限

切换到工作台节目，如下：

1).admin用户验证如下：

 

 可以选择使用不同的系统用户登录资产服务器，root或普通系统用户

 

 也可在登录时候直接选择root用户登录，如下：

 

 

同理admin用户可以登录其他资产，已验证，截图略。

2).ops组中用户manager用户验证如下：

使用manager用户登录jumpserver，如下：  manager/xxQQ2011

 

 

 

同理也可选择root用户登录 

 

manager用户对其他资产也能登录，已验证，截图略。 

3).develop组中用户shi1和shi2用户验证如下：

使用shi1或shi2用户登录jumpserver，如下：  shi1/123456   shi2/456789 ,此次以shi1用户演示

用shi1用户登录jumpserver，如下：

 

 

 

 也可用root登录资产，如下：

 

同理shi2用户也是一样权限，截图略。 

5.通过xshell登录jumpserver登录资产验证权限（以admin用户、manager用户和shi1用户为例)

1).注意：搭建完jumpserve的web界面登录和xshell命令行登录区别

(1).web界面登录： 使用域名或ip访问(80或443端口)jumpserver地址，使用创建的jumpserver的登录用户和密码登录即可。

(2).xshell命令行登录， 使用地址： 域名或ip，端口号使用2222，(此端口号和该机器的ssh端口号不是一回事),2222是jumpserver启动时候容器映射的登录jumpserver端口号， 再使用创建的jumpserver的登录用户和密码登录即可。也可修改jumpserver命令行登录的端口号，修改下面文件即可（jumpserver解压安装目录中一个相关环境变量文件)

[root@localhost compose]# cat /usr/local/jumpserver-2.28.6/compose/.env |grep 22

SSH_PORT=2222

2).以admin用户测试命令行登录jumpserver   admin/123456.com

 

 

 

 

 其他资产登录同理。

2).以manager用户测试命令行登录jumpserver   manager/xxQQ2011

 

 

 

 

 3).以shi1用户测试命令行登录jumpserver   shi1/123456