Jumpserver 3.0 全新改版更轻、更快、更便捷

博主： cto.wang
发布时间：2014 年 07 月 03 日
445次浏览
暂无评论
7315字数
分类： ansible

<h2>&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Jumpserver&nbsp;Wiki</h2>
&nbsp;
&nbsp;<img src="//cto.wang/usr/uploads/2016/07/20160703143941-8.gif" title="111.png" />
&nbsp;
&nbsp;

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; 作者：广宏伟&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;官网地址：http://www.jumpserver.org/
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Github地址：https://github.com/ibuler/jumpserver/wiki
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;文档统计者：火拳Ace
 
 
 
 
<h2>一、概述</h2>
Jumpserver&nbsp;是一款由python编写开源的跳板机(堡垒机)系统，实现了跳板机应有的功能
首页
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-36.gif" title="图片1.png" />
&nbsp;
WebTerminal:
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-17.gif" title="图片2.png" />&nbsp;
Web批量执行命令
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-21.gif" title="图片3.png" />
录像回放
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-70.gif" title="图片4.png" />

跳转和批量命令
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-74.gif" title="图片5.png" />&nbsp;
命令统计
<img src="//cto.wang/usr/uploads/2016/07/20160703143942-61.gif" title="图片6.png" />
&nbsp;
&nbsp;
&nbsp;
&nbsp;
&nbsp;
特点：
&nbsp;
l&nbsp;完全真开源，GPL授权
l&nbsp;Python编写，容易再次开发
l&nbsp;实现了跳板机基本功能，认证、授权、审计
l&nbsp;集成了Ansible，批量命令等
l&nbsp;支持WebTerminal
l&nbsp;Bootstrap编写，界面美观
l&nbsp;自动收集硬件信息
l&nbsp;录像回放
l&nbsp;命令搜索
l&nbsp;实时监控
l&nbsp;批量上传下载
<h2>二、快速安装</h2>
快速安装
&nbsp;
建议使用&nbsp;centos&nbsp;6&nbsp;mini环境快速安装，安装过一些软件后，其中可能会安装一些不兼容的python库，如pycrypto,&nbsp;django,&nbsp;会影响快速安装
环境
&nbsp;
CentOS&nbsp;6.x&nbsp;x86_64&nbsp;mini
iptables&nbsp;stop
selinux&nbsp;disable
开始
&nbsp;
1.&nbsp;安装依赖rpm
&nbsp;
Yum源可以使用阿里的，本人测试阿里没有问题，在Centos&nbsp;6.6上。
（详情：http://mirrors.aliyun.com/help/centos）
&nbsp;
yum&nbsp;-y&nbsp;install&nbsp;epel-release
&nbsp;
yum&nbsp;-y&nbsp;install&nbsp;git&nbsp;python-pip&nbsp;mysql-devel&nbsp;gcc&nbsp;automake&nbsp;autoconf&nbsp;python-devel&nbsp;vim&nbsp;sshpass&nbsp;lrzsz
2.&nbsp;下载jumpserver
&nbsp;
cd&nbsp;/opt
&nbsp;
git&nbsp;clone&nbsp;https://github.com/ibuler/jumpserver.git
3.&nbsp;执行快速安装脚本
&nbsp;
cd&nbsp;jumpserver/install&nbsp;&amp;&amp;&nbsp;pip&nbsp;install&nbsp;-r&nbsp;requirements.txt
&nbsp;
python&nbsp;install.py
根据提示输入相关信息，完成安装，完成安装后，请访问web，继续查看后续文档
&nbsp;
如果启动失败，请返回上层目录，手动运行&nbsp;./service.sh&nbsp;restart启动
&nbsp;
*默认账号密码&nbsp;admin&nbsp;5Lov@wife
&nbsp;
注意
&nbsp;
1.&nbsp;后端服务器需要有python环境才能使用推送用户，批量命令等功能
2.&nbsp;后端服务器如果开启了selinux，请安装&nbsp;libselinux-python
&nbsp;
<h2>三、名词解释</h2>
&nbsp;
l&nbsp;用户&nbsp;用户是授权和登陆的主体，将来为每个员工建立一个账户，用来登录跳板机，&nbsp;将资产授权给该用户，查看用户登陆记录命令历史等
&nbsp;
l&nbsp;用户组&nbsp;多个用户可以组合成用户组，为了方便进行授权，可以将一个部门或几个用户&nbsp;组建成用户组，在授权中使用组授权，该组中的用户拥有所有授权的主机权限
&nbsp;
l&nbsp;资产&nbsp;资产通常是我们的服务器、网络设备等，将资产授权给用户，用户则会有权限登&nbsp;录资产，执行命令等
&nbsp;
l&nbsp;管理账户&nbsp;添加资产时需要添加一个管理账户，该账户是该资产上已有的有管理权限的用户，&nbsp;如root，或者有&nbsp;NOPASSWD:&nbsp;ALL&nbsp;sudo权限的用户，该管理账户用来向资产推送系统用户，&nbsp;为系统用户添加sudo，获取资产的一些硬件信息
&nbsp;
l&nbsp;资产组&nbsp;同用户组，是资产组成的集合，为了方便授权
&nbsp;
l&nbsp;机房&nbsp;又称IDC，不解释
&nbsp;
l&nbsp;Sudo&nbsp;这里的sudo其实是Linux中的sudo命令别名，一个sudo别名包含多个命令，&nbsp;系统用户关联sudo就代表该系统用户有权限sudo执行这些命令
&nbsp;
l&nbsp;系统用户&nbsp;系统用户是服务器上建立的一些真实存在的可以ssh登陆的用户,如&nbsp;dev,&nbsp;sa,&nbsp;dba等，系统用户可使用jumpserver推送到服务器上，也可以利用自己公司&nbsp;的工具进行推送，授权时将用户、资产、系统用户关联起来则表明用户有权限登陆该资产的&nbsp;这个系统用户&nbsp;如：用户&nbsp;小明&nbsp;以&nbsp;dev&nbsp;系统用户登录&nbsp;172.16.1.1资产,&nbsp;简单理解就是&nbsp;将某个资产上的某个系统用户映射给这个用户登录
&nbsp;
l&nbsp;推送系统用户&nbsp;添加完系统用户，需要推送，推送操作是使用ansible，把添加的系统&nbsp;用户和系统用户管理的sudo，推送到资产上，具体体现是在资产上useradd该系统用户，&nbsp;，设置它的key,然后设置它的sudo，为了让用户可以登录它
&nbsp;
l&nbsp;授权规则&nbsp;授权规则是将&nbsp;资产&nbsp;系统用户&nbsp;和&nbsp;用户&nbsp;关联起来，用来完成授权。&nbsp;这样用户就可以以某个系统用户账号登陆资产。大家对这好像不是很理解，其实也是对系统用户，&nbsp;用户这里没有搞清楚。我们可以把用户当做虚拟的用户，而系统用户是真实再服务器上存在的用户，&nbsp;系统用户可以使用jumpserver推送，也可以自己手动建立，但是推送的过程一定要有，哪怕是模拟&nbsp;推送（不选择秘钥和密码推送，如网络设备），因为添加授权规则会检查推送记录。为了简化理解，&nbsp;我们暂时&nbsp;以&nbsp;用户&nbsp;资产&nbsp;系统用户&nbsp;来理解，暂时不考虑组，添加这样的规则意思是&nbsp;授权&nbsp;用户&nbsp;在这个资产上&nbsp;以这个系统用户来登陆,&nbsp;系统用户是一组具有通用性，具有sudo的用户，&nbsp;不同的用户授权不同的&nbsp;系统用户，比如&nbsp;dba可能有用数据库的sudo权限
&nbsp;
l&nbsp;日志审计
&nbsp;
o&nbsp;在线&nbsp;查看当前在线的用户(非web在线)，可以监控用户的命令执行，强制结束用户&nbsp;登录。
o&nbsp;实时监控&nbsp;实时监控用户的操作
&nbsp;
o&nbsp;登录历史&nbsp;查看以往用户的登录历史，可以查看用户登陆操作的命令，可以回放用户&nbsp;执行命令的录像
&nbsp;
o&nbsp;命令记录&nbsp;查看用户批量执行命令的历史，包含执行命令的主机，执行的命令，执行的结果
o&nbsp;上传下载&nbsp;查看用户上传下载文件的记录
l&nbsp;默认设置&nbsp;默认设置里可以设置&nbsp;默认管理账号信息，包括账号密码密钥，默认信息为了方便添加资产&nbsp;而设计，添加资产时如果选择使用默认管理账号，则会使用这里设置的信息，端口是资产的ssh端口，添加&nbsp;资产时，默认会使用该端口
&nbsp;
<h2>四、快速开始</h2>
1.&nbsp;添加用户
&nbsp;
用户管理&nbsp;&#8211;&nbsp;查看用户&nbsp;&#8211;&nbsp;添加用户&nbsp;填写基本信息，完成用户添加
&nbsp;
用户添加完成后，根据提示记住用户账号密码，换个浏览器登录下载key，
ssh登录jumpserver测试
2.&nbsp;添加资产
&nbsp;
资产管理&nbsp;&#8211;&nbsp;查看资产&nbsp;&#8211;&nbsp;添加资产&nbsp;填写基本信息，完成资产添加
&nbsp;
3.&nbsp;添加sudo
&nbsp;
授权管理&nbsp;&#8211;&nbsp;Sudo&nbsp;&#8211;&nbsp;添加别名&nbsp;输入别名名称和命令，完成sudo添加
&nbsp;
4.&nbsp;添加系统用户
&nbsp;
授权管理&nbsp;&#8211;&nbsp;系统用户&nbsp;&#8211;&nbsp;添加&nbsp;输入基本信息，完成系统用户添加
&nbsp;
5.&nbsp;推送系统用户
&nbsp;
授权管理&nbsp;&#8211;&nbsp;推送&nbsp;&#8211;&nbsp;选择需要推送的资产或资产组完成推送
&nbsp;
推送只支持服务器，使用密钥是指用户从跳板机跳转时使用key，反之使用密码，
授权时会检查推送记录，如果没有推送过则无法完成系统用户在该资产上的授权。
如果资产时网络设备，请不要选择密码和秘钥，模拟一下推送，目的是为了生成
推送记录。
6.&nbsp;添加授权规则
&nbsp;
授权管理&nbsp;&#8211;&nbsp;授权规则&nbsp;&#8211;&nbsp;添加规则&nbsp;选择刚才添加的用户，资产，系统用户完成授权
&nbsp;
7.&nbsp;测试登录
&nbsp;
用户下载key&nbsp;登录跳板机，会自动运行connect.py，根据提示登录服务器
&nbsp;
用户登陆web&nbsp;查看授权的主机，点击后面的链接，测试是否可以登录服务器
&nbsp;
8.&nbsp;监控和结束会话
&nbsp;
日志审计&nbsp;&#8211;&nbsp;在线&nbsp;查看当前登录的用户登录情况，点击监控查看用户执行的命令，&nbsp;点击阻断，结束用户的会话
&nbsp;
9.&nbsp;查看历史记录
&nbsp;
日志审计&nbsp;&#8211;&nbsp;登录历史&nbsp;查看登录历史,点击统计查看命令历史，点击回放查看录像
&nbsp;
10.&nbsp;执行命令
&nbsp;
同7&nbsp;测试命令的执行，命令记录查看&nbsp;批量执行命令的日志
&nbsp;
11.&nbsp;上传下载
&nbsp;
同7&nbsp;测试文件的上传下载，日志审计&nbsp;&#8211;&nbsp;上传下载&nbsp;查看上传下载记录
<h2>五、更新Log</h2>
一.&nbsp;更新Log
&nbsp;
&#8212;&nbsp;登录脚本&nbsp;&#8212;
&nbsp;
1.1&nbsp;精确记录执行命令
&nbsp;
1.2&nbsp;新增文件上传下载
&nbsp;
1.3&nbsp;更改为输入ID登陆主机
&nbsp;
1.4&nbsp;增加主机搜索
&nbsp;
1.5&nbsp;执行命令使用ansible执行
&nbsp;
1.6&nbsp;优化脚本
&nbsp;
&#8212;&nbsp;web管理&nbsp;&#8212;
&nbsp;
1.7&nbsp;增加web&nbsp;terminal
&nbsp;
1.8&nbsp;增加web端批量命令执行
&nbsp;
1.9&nbsp;增加录像回放
&nbsp;
1.10&nbsp;资产增加硬件信息抓取
&nbsp;
1.11&nbsp;资产增加Excel导出和导入
&nbsp;
1.12&nbsp;资产增加批量更改
&nbsp;
1.13&nbsp;废弃了LDAP支持，改为在主机上授权系统用户(系统用户为一些通用用户，如dev,dba等)
&nbsp;
1.14&nbsp;授权改为以授权规则为中心
&nbsp;
1.15&nbsp;添加系统用户推送
&nbsp;
1.16&nbsp;更改sudo管理
&nbsp;
1.17&nbsp;增加执行命令日志审计
&nbsp;
1.18&nbsp;增加文件上传命令审计
&nbsp;
1.19&nbsp;增加web端历史命令搜索
&nbsp;
1.20&nbsp;取消权限申请
&nbsp;
1.21&nbsp;取消部门管理员
&nbsp;
1.22&nbsp;取消资产别名
&nbsp;
1.23&nbsp;授权细颗粒化
&nbsp;
<h2>六、FAQs</h2>
查看日志
&nbsp;
tail&nbsp;-f&nbsp;logs/jumpserver.log
里面包含了详细的日志，包含了账号和密码，一切完成后，请将&nbsp;jumpserver.conf中的log改为&nbsp;warning等
&nbsp;
推送系统用户失败
&nbsp;
在系统用户列表，点击系统用户名称，查看系统用户详情，把鼠标放到失败按钮上，会看到失败的原因，通常是因为&nbsp;管理账号添加的不对（见管理账号名称解释），或服务器没有安装sudo(推送系统用户时，会推送sudo设置)
&nbsp;
邮件发送失败
&nbsp;
如果出现mail,smtp等错误通常都是由于发送邮件导致的，请尝试不同提供商的邮件设置
&nbsp;
service启动失败
&nbsp;
请进入jumpserver目录，手动运行
&nbsp;
python&nbsp;manage.py&nbsp;runserver&nbsp;0.0.0.0:80
&nbsp;
python&nbsp;run_websocket.py
如果启动失败，可能是由于&nbsp;80端口和3000端口已经被占用，或者数据库账号密码不对，请检查
&nbsp;
监控，websocket,&nbsp;web命令执行失败
&nbsp;
他们会像运行的websocket服务发起请求，&nbsp;可能是websocket没有启动，可能是Jumpserver.conf中&nbsp;websocket的地址不正确，务必保证设置的地址用户可以访问到(映射或防火墙等),&nbsp;service.sh先关掉服务器，手动运行（见&nbsp;3),&nbsp;查看websocket的console输出
&nbsp;
Crypto，HAVE_DECL_MPZ_POWM_SEC等错误
&nbsp;
很常见的错误，通常是由&nbsp;pycrypto的版本问题，请卸载重新安装
&nbsp;
pip&nbsp;uninstall&nbsp;pycrypto
&nbsp;
rm&nbsp;-rf&nbsp;/usr/lib64/python2.6/site-packages/Crypto/
&nbsp;
pip&nbsp;install&nbsp;pycrypto
用户，系统用户，管理用户对比
&nbsp;
为了简单的描述这个问题，我们举例来说明，&nbsp;用户&nbsp;小明(公司员工)，&nbsp;系统用户&nbsp;dev(后端服务器上存在的账号),&nbsp;授权时将&nbsp;系统用户dev在某台服务器授权给小明时，这是小明登陆后面的服务器，其实是登陆了服务器上的dev用户,&nbsp;类似&nbsp;[xiaoming@localhost&nbsp;~]$&nbsp;ssh&nbsp;dev@somehost&nbsp;。管理账号是为了帮助大家推送系统用户用的，在jumpserver上新建系统用户并推送，其实相当于&nbsp;ssh&nbsp;管理账户@somehost&nbsp;-e&nbsp;&#039;useradd&nbsp;系统账号&#039;,&nbsp;当然，我们是用ansible完成这样的操作

最后修改：2021 年 12 月 10 日 10 : 53 AM

如果觉得我的文章对你有用，请随意赞赏