从0搭建体验JumpServer堡垒机全过程

• 抖音：https://v.douyin.com/iUBY3tgA/

• B站：https://www.bilibili.com/video/BV1tr421b7Hy/

今天我准备了几台服务器

我们从0搭建一套JumpServer

那这张图里

目前只有这一台机器

是暴露在公网环境下的

我们就在这台机器上装JumpServer

但这里插一句哈

其实我觉得

如果大家就是单纯觉得服务器多

不便于管理

我觉得

就可以把它当成一个资产管理的工具 (不一定非要用作堡垒机）

为什么说资产管理啊

后边大家就知道了

好首先呢

我们使用它最简单的这个安装方法啊

这是他官网提供的一行安装脚本

然后呢这个是我刚刚重置了系统的

一个Linux服务器啊

现在是什么都没装好

然后呢我们回车

好这样就装上了

整个耗时大概5分钟

然后呢我们访问去登录

默认的话它就是admin

我就随便改一个吧

OK

咱们重新登一下吧

好上来了

那初始的系统一般我们需要做两件事

第一呢

就是很重要的添加资产在这里

第二呢就是如果你有团队

需要给团队的成员创建用户

然后给这些用户授权资产

那我们先来添加资产哈

这里边包括三个服务器

一个mysql和一个内网的网站

在这里点资产列表

然后点创建

在这里

我们能看到它支持的各种类型的资产

哈比如说服务器里边有Linux

Windows Mac OS都可以

然后数据库

然后呢还有K8S

甚至呢它还有Website

这个website有意思啊

就是Windows里边支持

那个远程应用的功能

这个一会儿给大家演示

然后就快速的把这几个资产加进去

我们先加服务器

好这些资产就加好了哈

然后有一步很重要

大家记得把这些资产授权给你自己

否则到时候用那个Web终端

你找不到这些资产

就在这里设权限

然后呢资产授权

我们创建一个规则

我们就开始了

用户呢选这个 Administrator

确认

然后下边到default就行了

资产这块

把它全选全，全赋给我们自己，提交

这样就授权完了

那至于添加用户的功能

我就不演示了啊

就想给大家看一下

这个用户登录的控制

大家看！什么意思呢

就是系统不但可以限制某个账号

在哪个IP段可以登录

也可以限制这个账号

在什么时间点可以登录

比如说像这样

就是

每个星期一到每个星期六的早上2点

到下午1点半

是可以登录的

这个就特别实用哈

然后呢还有这个命令过滤

加命令过滤之前呢

先准备好命令组

比如创建一个叫危险命令

然后呢里边有就加一个reboot吧

正常我们可以换行 rm

我们先加一个reboot

然后呢

比如叫：禁止...

危险然后下边...

然后下边这命令组选刚才这个

然后我们可以选择针对这个命令组的

系统的反应

我这个社区版呢

企业版的话呢

它还支持命令审核

比如我们执行reboot之后

需要管理员审核才能会

被真正的执行

那我们先选择拒绝吧

好

前面展示的都是一些基础的准备工作

哈那剩下的大部分功能

都在这个工作台里了

我们点进来

那这里边

就是未来我们经常会用到的一些功能

比如说文件传输啊

然后像这里有作业管理啊

执行历史啊等等啊

我们这次重点讲这个Web终端

或者大家进来这个系统之后

直接点这里也可以进入Web终端哈

用到这里

我们在左侧这块菜单

能看到所有我们有权限的资产

打开这里边有两个Linux

一个Windows

然后这有一个mysql和一个网页

都有了

像Linux系统

它就是以命令行为主

我们可以直接在这链接

在网页里进行操作

比如现在就登录进来了哈

那如果你装了Jam Server的客户端啊

也可以在这里点击客户端

然后呢SSH客户端，大家看啊

它就会打开JumpServer的这个客户端

然后去替你启动

大家看，它就启动我本地的这个item了

其实这时候

就相当于用我们本地的终端

连接到了内网的某一台服务器上

然后我们现在试一下reboot命令哈

大家看它是被禁止的

好然后呢

就是这种Windows服务器

我们也可以直接在这里面进行连接

好大家看这就连上了

这操作都没有问题

另外就是这个资产

mysql的它在这里支持两种连接方式

一种是这种命令行的

一种是这个GUI的

大家看

整体来说这工具还是挺好用的

日常的开发也是足够了

那最后我们来看这

个Website

大家看这个按钮是灰的

就如果默认只加了Website

但没有在这个系统里边

维护远程应用的话

这里是不能点击的

我们需要去系统里把远程应用配置上

那这个远程应用呢

其实最好是Windows Server的

2016或者2019的操作系统

这个他们官网的文档里都有介绍哈

包括开启Winrm

这个都很简单

大家网上一搜就可以啊

然后呢我们在这里选择远程应用

点应用发布机

我们创建一个应用发布机

这里边这个IP呢

就选择一个Windows服务器的IP哈

然后这块呢

我们选winrm

它默认这个端口就不用改

然后添加账号

然后这个账号数量是什么意思呢

就是未来

这些功能

是基于远程应用的话呢

其实都是用一个虚拟账号

跑在刚才那个Windows环境里边

所以呢

相当于我们在这设置一个数量的池子

比如说我们就两个吧

然后这个呢就是这个系统的IP

也可以用本地的局网IP啊

我这就添这个公网IP了

好创建成功

还没完哈

我们需要进来在这应用发布机

点一下初始化这个部署

然后我们就等一会儿

最后看到这行就是装好了哈

这个过程有点慢

大家耐心等一等就可以了

再回到这个地方

我们再点内部系统

打开这个链接就可以点了

他就会在这个Windows的远程应用上

跑一个虚拟账号

然后呢来访问这网址

大家看

这其实是一个内网的地址

现在就可以访问了

而且呢它这个website呢

还支持一些表单的自动填写

这个我没有配置

大家可以自己去研究哈

那另外呢

它远程应用还不止浏览网页哈

比如说我们看这个sql

刚才我们用的是Web这里边了

其实我们还可以选择远程应用

这里有一个DBeaver社区版

就说它这远程应用内置了一个DBeaver哈

我们试一下

OK这就是一个DBeaver

所以我觉得他这个远程应用

特别具有可玩性

未来的想象空间也挺大哈

而且呢他还有应用市场

这里边会有很多应用

那最后呢

这里是他们开源项目的地址啊

大家感兴趣可以来看看

总之呢他的功能很多

我虽然没有办法带大家一一去体验

但是呢大概对他有个了解之后呢

也能对大家

未来的某个时间点的某个决策

确定好然后呢我们来加一个过滤

现在可以选择拒绝或者告警

只要我们在这个系统上使用的