三、用户管理、资产管理、客户端登录jumpserver
一、用户管理
有三种用户:
1、登录jumpserver的用户
在jumpserver用户管理中创建一个用户,创建提交后更新可设置密码。也可以在系统设置中设置邮件,通过发送邮件的方式设置密码。设置好后即可登录。登录web界面的,以及命令行界面的。
2、管理用户
jumpserver有一个自动化批量执行命令的功能,执行这个命令的用户,也可以在远程机器上创建一个系统用户,所以这个用户把它叫做管理用户。创建一个管理用户jumpserver,管理用户最好用私钥。
# cd ~/.ssh # ssh-keygen -f jumpserver //-f指定密钥的名字 [root@CLAY .ssh]# ls authorized_keys id_rsa id_rsa.pub jumpserver jumpserver.pub known_hosts [root@CLAY .ssh]# sz jumpserver //把私钥下载再选择该私钥文件,如果私钥没有设密码,那jumpserver用户的密码处就留空,如果设置了密码,就填私钥的密码。
3、系统用户
登录每台机器的用户,通常情况下,和用户管理中列表里的用户保持一致,方便去管理。用户列表里的用户是登录jumpserver的,系统用户是登录到jumpserver里以后再跳到系统里去登录的用户。通过命令行界面登录后跳到系统中去的用户。创建一个系统用户,定义名称、用户名,选择自动登录。
二、资产管理
web界面,资产管理→资产列表
左侧的可以认为是主机组,在里面新建一个节点,这个节点就相当于公司里N多的业务,命名业务1,在业务1中来创建资产。
定义主机名、IP、管理用户,这个管理用户必须要到这台机器上去创建,提交。
# useradd jumpserver [root@wbs ~]# ls -l /home/jumpserver/ 总用量 0
//这个jumpserver用户是每添加一台机器都要添加的用户。由于每增加一个节点,一个管理的机器都要添加用户比较麻烦,所以想一个办法,以后每购买一台新的阿里云机器也好,物理机也罢,上架初始化的时候就创建这个用户。
[root@wbs jumpserver]# cd /home/jumpserver/ # mkdir .ssh # vi .ssh/authorized_keys
//到jumpserver那台机器上把之前生成的公钥复制过来cat ~/.ssh/jumpserver.pub,这样就可以通过密钥去连接对方机器的jumpserver用户了。
[root@CLAY .ssh]# ssh -i jumpserver jumpserver@192.168.149.133
//测试连接,ssh -i指定私钥,如果不需要输入密码即可登录到对方机器了,说明配置成功。
不成功的可能性:对方机器公钥的权限以及私钥的权限、SELinux。
管理用户必须要具有root的权限,使用sudo来实现。
两个方法:
1、jumpserver的UID设置成0,这种方法不太好。
2、给它设定sudo权限。
[root@wbs jumpserver]# visudo ... ## Allow root to run any commands anywhere jumpserver ALL=(ALL) NOPASSWD: ALL //添加一行 root ALL=(ALL) ALL user1 ALL=(ALL) /bin/ls,/bin/chown,/bin/chmod,/bin/tail,/bin/cat user2 ALL=(ALL) ALL ...
[root@wbs jumpserver]# su - jumpserver //先登录到jumpserver 上一次登录:六 10月 12 17:29:34 CST 2019从 192.168.149.131pts/1 上 [jumpserver@wbs ~]$ sudo ls /root 001 123.fifo 20shell anaconda-ks.cfg login test.fifo [jumpserver@wbs ~]$ sudo tail -5 /etc/shadow gitlab-prometheus:!!:18166:::::: zhangsan:$6$tgTbTKHN$a9S7trCLv3X/GWYP5cM.RMReQ.cMbjbjrK/0c1HNAmuJNOmDXjaKjbG34QAhQGgTextVxa1jeSFaxMkX49qUt/:18170:0:99999:7::: saslauth:!!:18171:::::: redis:!!:18172:::::: jumpserver:!!:18181:0:99999:7::: sudo都执行成功了,说明没问题。先退出这儿。
到资产管理的主机中更新硬件信息,上方可以看到更新成功,实际上把这个任务交给了作业中心,再回到资产列表的主机中点进去看硬件信息是否是已经更新了。
系统用户,要把它下发到资产上去的:
web界面,权限管理→资产授权→创建授权规则,名称定义一个系统用户的名称,选择用户、资产、系统用户,提交。
把系统用户中的自动推送功能打开,刷新一下,再到主机中查看,# id zhangsan,即可看到推送到了系统。
三、客户端登录jumpserver
重新登录ssh终端下的jumpserver的机器,输入p,即可看到你的机器。输入对应的ID数字,即可直接登录。
# cd /home/zhangsan # ls -la //看到有.ssh目录,进去可以看到有密钥,说明这是通过密钥登录进去的。 总用量 12 drwx------. 3 yaowei yaowei 74 10月 13 11:46 . drwxr-xr-x. 13 root root 164 10月 13 11:43 .. -rw-r--r--. 1 yaowei yaowei 18 8月 3 2017 .bash_logout -rw-r--r--. 1 yaowei yaowei 193 8月 3 2017 .bash_profile -rw-r--r--. 1 yaowei yaowei 231 8月 3 2017 .bashrc drwx------. 2 yaowei yaowei 29 10月 13 11:46 .ssh
再到web界面创建一个jumpserver本机的资产,本机的IP、本机的名字。
然后回到ssh终端创建jumpserver用户:
# useradd jumpserver # su - jumpserver [jumpserver@CLAY ~]$ mkdir .ssh $ chmod 700 .ssh $ vi .ssh/authorized_keys $ chmod 600 .ssh/authorized_keys $ 登出 [root@CLAY ~]# visudo ... ## Allow root to run any commands anywhere root ALL=(ALL) ALL jumpserver ALL=(ALL) NOPASSWD: ALL //添加一行。 [root@CLAY .ssh]# ssh -i jumpserver jumpserver@127.0.0.1 //测试登录
web界面,授权规则,把本机的资产更新增加到原来的规则中,或者创建新的授权规则都行。
再回到jumpserver的ssh终端中,重新连接一下,输入p,可以看到本机的资产和前面的资产两个,输入数字即可直接连接。
其他功能:
会话管理:
命令记录,可以看到用户执行的历史命令;
历史会话,可以视频回放用户操作的记录过程;
在线会话,可以看到当前正在连接的终端,如果终端它,正在写的内容将不会保存。
新开一个浏览器,用自己的用户登录,可以看到有web终端,点击进入,在左侧即可选择对应的业务登录进入。
文件管理,机器下的目录为/tmp目录,上传的文件都会在/tmp目录里。