您好,登錄后才能下訂單哦!
一、用戶管理
有三種用戶:
1、登錄jumpserver的用戶
在jumpserver用戶管理中創(chuàng)建一個用戶,創(chuàng)建提交后更新可設(shè)置密碼。也可以在系統(tǒng)設(shè)置中設(shè)置郵件,通過發(fā)送郵件的方式設(shè)置密碼。設(shè)置好后即可登錄。登錄web界面的,以及命令行界面的。
2、管理用戶
jumpserver有一個自動化批量執(zhí)行命令的功能,執(zhí)行這個命令的用戶,也可以在遠程機器上創(chuàng)建一個系統(tǒng)用戶,所以這個用戶把它叫做管理用戶。創(chuàng)建一個管理用戶jumpserver,管理用戶最好用私鑰。
#?cd?~/.ssh #?ssh-keygen?-f?jumpserver????//-f指定密鑰的名字 [root@CLAY?.ssh]#?ls authorized_keys??id_rsa??id_rsa.pub??jumpserver??jumpserver.pub??known_hosts [root@CLAY?.ssh]#?sz?jumpserver???//把私鑰下載再選擇該私鑰文件,如果私鑰沒有設(shè)密碼,那jumpserver用戶的密碼處就留空,如果設(shè)置了密碼,就填私鑰的密碼。
3、系統(tǒng)用戶
登錄每臺機器的用戶,通常情況下,和用戶管理中列表里的用戶保持一致,方便去管理。用戶列表里的用戶是登錄jumpserver的,系統(tǒng)用戶是登錄到j(luò)umpserver里以后再跳到系統(tǒng)里去登錄的用戶。通過命令行界面登錄后跳到系統(tǒng)中去的用戶。創(chuàng)建一個系統(tǒng)用戶,定義名稱、用戶名,選擇自動登錄。
二、資產(chǎn)管理
web界面,資產(chǎn)管理→資產(chǎn)列表
左側(cè)的可以認為是主機組,在里面新建一個節(jié)點,這個節(jié)點就相當(dāng)于公司里N多的業(yè)務(wù),命名業(yè)務(wù)1,在業(yè)務(wù)1中來創(chuàng)建資產(chǎn)。
定義主機名、IP、管理用戶,這個管理用戶必須要到這臺機器上去創(chuàng)建,提交。
#?useradd?jumpserver??? [root@wbs?~]#?ls?-l?/home/jumpserver/ 總用量?0
//這個jumpserver用戶是每添加一臺機器都要添加的用戶。由于每增加一個節(jié)點,一個管理的機器都要添加用戶比較麻煩,所以想一個辦法,以后每購買一臺新的阿里云機器也好,物理機也罷,上架初始化的時候就創(chuàng)建這個用戶。
[root@wbs?jumpserver]#?cd?/home/jumpserver/ #?mkdir?.ssh #?vi?.ssh/authorized_keys
//到j(luò)umpserver那臺機器上把之前生成的公鑰復(fù)制過來cat ~/.ssh/jumpserver.pub,這樣就可以通過密鑰去連接對方機器的jumpserver用戶了。
[root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@192.168.149.133
//測試連接,ssh -i指定私鑰,如果不需要輸入密碼即可登錄到對方機器了,說明配置成功。
不成功的可能性:對方機器公鑰的權(quán)限以及私鑰的權(quán)限、SELinux。
管理用戶必須要具有root的權(quán)限,使用sudo來實現(xiàn)。
兩個方法:
1、jumpserver的UID設(shè)置成0,這種方法不太好。
2、給它設(shè)定sudo權(quán)限。
[root@wbs?jumpserver]#?visudo ... ##?Allow?root?to?run?any?commands?anywhere jumpserver?ALL=(ALL)????NOPASSWD:?ALL?????//添加一行 root????ALL=(ALL)???????ALL user1???ALL=(ALL)???????/bin/ls,/bin/chown,/bin/chmod,/bin/tail,/bin/cat user2???ALL=(ALL)???????ALL ...
[root@wbs?jumpserver]#?su?-?jumpserver???//先登錄到j(luò)umpserver 上一次登錄:六?10月?12?17:29:34?CST?2019從?192.168.149.131pts/1?上 [jumpserver@wbs?~]$?sudo?ls?/root 001??123.fifo??20shell anaconda-ks.cfg??login test.fifo [jumpserver@wbs?~]$?sudo?tail?-5?/etc/shadow gitlab-prometheus:!!:18166:::::: zhangsan:$6$tgTbTKHN$a9S7trCLv3X/GWYP5cM.RMReQ.cMbjbjrK/0c1HNAmuJNOmDXjaKjbG34QAhQGgTextVxa1jeSFaxMkX49qUt/:18170:0:99999:7::: saslauth:!!:18171:::::: redis:!!:18172:::::: jumpserver:!!:18181:0:99999:7::: sudo都執(zhí)行成功了,說明沒問題。先退出這兒。
到資產(chǎn)管理的主機中更新硬件信息,上方可以看到更新成功,實際上把這個任務(wù)交給了作業(yè)中心,再回到資產(chǎn)列表的主機中點進去看硬件信息是否是已經(jīng)更新了。
系統(tǒng)用戶,要把它下發(fā)到資產(chǎn)上去的:
web界面,權(quán)限管理→資產(chǎn)授權(quán)→創(chuàng)建授權(quán)規(guī)則,名稱定義一個系統(tǒng)用戶的名稱,選擇用戶、資產(chǎn)、系統(tǒng)用戶,提交。
把系統(tǒng)用戶中的自動推送功能打開,刷新一下,再到主機中查看,# id zhangsan,即可看到推送到了系統(tǒng)。
三、客戶端登錄jumpserver
重新登錄ssh終端下的jumpserver的機器,輸入p,即可看到你的機器。輸入對應(yīng)的ID數(shù)字,即可直接登錄。
#?cd?/home/zhangsan #?ls?-la???//看到有.ssh目錄,進去可以看到有密鑰,說明這是通過密鑰登錄進去的。 總用量?12 drwx------.??3?yaowei?yaowei??74?10月?13?11:46?. drwxr-xr-x.?13?root???root???164?10月?13?11:43?.. -rw-r--r--.??1?yaowei?yaowei??18?8月???3?2017?.bash_logout -rw-r--r--.??1?yaowei?yaowei?193?8月???3?2017?.bash_profile -rw-r--r--.??1?yaowei?yaowei?231?8月???3?2017?.bashrc drwx------.??2?yaowei?yaowei??29?10月?13?11:46?.ssh
再到web界面創(chuàng)建一個jumpserver本機的資產(chǎn),本機的IP、本機的名字。
然后回到ssh終端創(chuàng)建jumpserver用戶:
#?useradd?jumpserver #?su?-?jumpserver [jumpserver@CLAY?~]$?mkdir?.ssh $?chmod?700?.ssh $?vi?.ssh/authorized_keys??? $?chmod?600?.ssh/authorized_keys $?登出 [root@CLAY?~]#?visudo ... ##?Allow?root?to?run?any?commands?anywhere root????ALL=(ALL)???????ALL jumpserver?ALL=(ALL)????NOPASSWD:?ALL????//添加一行。 [root@CLAY?.ssh]#?ssh?-i?jumpserver?jumpserver@127.0.0.1???//測試登錄
web界面,授權(quán)規(guī)則,把本機的資產(chǎn)更新增加到原來的規(guī)則中,或者創(chuàng)建新的授權(quán)規(guī)則都行。
再回到j(luò)umpserver的ssh終端中,重新連接一下,輸入p,可以看到本機的資產(chǎn)和前面的資產(chǎn)兩個,輸入數(shù)字即可直接連接。
其他功能:
會話管理:
命令記錄,可以看到用戶執(zhí)行的歷史命令;
歷史會話,可以視頻回放用戶操作的記錄過程;
在線會話,可以看到當(dāng)前正在連接的終端,如果終端它,正在寫的內(nèi)容將不會保存。
新開一個瀏覽器,用自己的用戶登錄,可以看到有web終端,點擊進入,在左側(cè)即可選擇對應(yīng)的業(yè)務(wù)登錄進入。
文件管理,機器下的目錄為/tmp目錄,上傳的文件都會在/tmp目錄里。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。