jump Server开源堡垒机的部署以及资产管理

jump Server开源堡垒机的部署及资产设备管理

堡垒机的主要作用就是审计，对设备维护人员的操作（什么人，什么身份，什么时间、登陆什么设备、执行什么操作、返回什么结果、什么时候退出）进行审计。

环境准备

1、Vmware
2、CentOS7.9.2009（用于部署安装jump server堡垒机）
3、网络为NAT模式，配置好yum源（操作略）
4、关闭防火墙和SELinux
5、另外还需要准备两台以上多余的虚拟机，便于后期添加资产设备，本文准备了一台RHEL8.2和一台win10。

1 一键部署jumpserver

注意：该命令可能第一次执行不成功，多执行几次即可！！

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.14.2/quick_start.sh | bash

等待安装完成：

2 配置JumpServer源

cd /opt/jumpserver/config/
vim config.txt

配置端口号为8080：

3 配置Nginx源

vi /etc/yum.repos.d/nginx.repo
添加以下内容，并保存
[nginx-stable]

name=nginx stable repo

baseurl=http://nginx.org/packages/centos/$releasever/$basearch/

gpgcheck=1

enabled=1

gpgkey=https://nginx.org/keys/nginx_signing.key

module_hotfixes=true

[nginx-mainline]

name=nginx mainline repo

baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/

gpgcheck=1

enabled=1

gpgkey=https://nginx.org/keys/nginx_signing.key

module_hotfixes=true

4 重新加载yum源：

yum repolist

5 安装Nginx

yum install nginx -y

6 启动Nginx

systemctl enable nginx --now

7 配置反向代理：

mv /etc/nginx/conf.d/default.conf /root
vi /etc/nginx/conf.d/jumpserver.conf
#添加以下内容，并保存
server {
    listen 80;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    ssl_certificate      cert/server.crt;  # 自行设置证书
    ssl_certificate_key  cert/server.key;  # 自行设置证书
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_protocols TLSv1.1 TLSv1.2;
    add_header Strict-Transport-Security "max-age=63072000" always;
    client_max_body_size 5000m;  # 录像及文件上传大小限制
    location / {
        proxy_pass http://192.168.111.100:8080;	//设置为服务器IP
        proxy_http_version 1.1;
        proxy_buffering off;
        proxy_request_buffering off;

        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

8 复制证书到/etc/nginx/cert 目录下

mkdir /etc/nginx/cert
cp -rf /opt/jumpserver/config/nginx/cert/* /etc/nginx/cert/

9 启动Nginx

systemctl restart nginx

10 启动jumpserver

cd /opt/jumpserver-installer-v2.10.3
./jmsctl.sh start

11 登录jumpserver

浏览器输入http://192.168.111.100:8080登录
用户名：admin
初始密码：admin

登录后会提示更改密码！！

12 创建用户 12.1 创建两个用户组“RHEL8.2”、“Win10”。

12.2 创建两个用户，用户类型为普通用户：

“Shass-rhel”，用于登录Redhat8.2；“Shass-Admin”用于登录Win10。

12.3 创建系统用户 12.3.1 特权用户

12.3.2 普通用户

13 创建资产 13.1 创建资产树

13.2 创建资产

13.2.1 连接测试

点击主机名：

13.3 资产授权

14 用户登录 14.1 Shass-rhel用户登录WEB

14.1.2 查看个人资产

可以看到，已成功为该用户分配了资产。

14.1.3 登录资产设备

可以通过操作下的 >_ 图标或左侧的web终端登录：

输入rhel8.2设备的登陆密码即可远程登录该设备：

14.2 使用Shass-Admin登录WEB

14.2.1 查看个人资产

14.2.2 登录资产设备

以上是基于jumpserver开源堡垒机部署及资产添加的过程，更多使用说明请访问官网。
感谢您的阅读！！