在上一篇已完成JumpServer安装的基础上,我们来看下如何使用JumpServer,主要是JumpServer用户与资产管理,以及命令过滤器的使用。
- 用户与资产管理
企业在使用JumpServer时,往往需要添加不同的管理分组和用户来对不同的服务器进行管理。
1.1 创建管理用户
例如有一个叫n63的企业刚成立,并安装好JumpServer,现要创建tom和jerry两个用户来管理。
点击菜单栏“用户管理”—“用户列表”—“创建”来新建JumpServer用户。
创建用户页面说明:
①“账户”模块:带星号为必填选项;
②“认证”模块:“密码策略”可选择邮件发送随机密码,也可手动指定用户密码;“MFA”多因子认证一般不需要开启;“来源”选择数据库,将JumpServer用户放在数据库中;
③“安全”模块:“系统角色”可选择要添加的用户类型;“失效日期”默认为70年,一般建议改为用户的合同有效期,比如两年或者三年之类。
1.2 创建分组
随着n63企业的发展,购买了很多服务器,需要对之前创建的tom和jerry用户进行分组管理。
点击“用户管理”—“用户组”—“创建”来新建JumpServer分组,同一个用户可以添加到多个分组中。
重新返回“用户列表”,就可以看到对应用户已在分组中(创建用户和创建分组部分部分先后)。
1.3 管理用户登录
重新打开一个浏览器,输入JumpServer域名或IP,即可使用已创建的用户进行登录。登录后可以看到一些基本信息,并且可以进行修改。
但是点击“WEB终端”时,“我的资产”里面是空的,这就需要admin账号去针对不同管理用户进行资产分配。
1.4 添加资产
1.4.1 创建系统用户
在添加资产时,我们需要提前准备好系统用户,系统用户包括两类:
①普通账号:JumpServer管理账号登录时使用的普通用户账号,对应服务器上可以不存在该账号;
②特权账号:让JumpServer服务器使用该账号对各类服务器资产进行账号推送和资产硬件信息搜集等。
1.4.1.1 创建普通用户
点击“资产管理”—“系统用户”—“普通用户”—“创建”—“SSH”,跳入到新的页面进行普通用户的信息填写。
普通用户如果当前不存在,通过JumpServer管理账号登录时会自动创建,笔者的主机上刚好也有johnnyfang用户,就直接使用该账号。
1.4.1.2 创建特权用户
选择“资产管理”—“系统用户”—”特权用户“—”创建“跳到新的页面。
特权用户添加页面主要是填写“名称”、“用户名”和“密码”,其他内容可以不动。
1.4.2 添加节点
admin账号在JumpServer管理页面右击“资产管理”—“资产列表”的“Default”,选择“创建节点”,可以设置想要的名称。
1.4.3 添加资产
添加资产时,选择要使用的节点,点击“创建”跳到添加资产页面,如果是服务器较多的情况,建议操作模板进行批量导入。
创建资产页面需要注意服务器资产的IP、操作系统和特权用户填写,另外节点部分要选择对应的管理节点。
创建完毕,返回资产列表,“可连接”部分显示的是绿√即可添加成功,点击对应资产主机名,可以测试硬件信息和可连接性。
1.4.4 资产授权
添加完资产,还需进行资产授权,点击“权限管理”—“资产授权”,选择对应的分组或者分组中的主机资产创建授权规则。
授权规则页面,“用户”部分一般选择用户组方便授权,“资产”部分主要是授权可以使用的资产及对应分组,系统用户可以选择特权用户或者普通用户。
1.5 管理用户登录查看
以tom用户为例,通过浏览器登录后,点击“WEB终端”即可显示可使用的资产,并可使用资产授权部分指定的普通用户johnnyfang进行登录使用。
- 命令过滤器的使用
基于安全考虑,有时我们需要禁止一些用户执行指定命令,比如rm、reboot、init和poweroff等。
2.1 基于tom特权用户权限
在以上的用户与资产管理中,笔者是让tom以普通用户johnnyfang来进行登录development主机的,所以很多操作默认是无法执行的,但是在企业中,有时是要给到管理用户的root权限,例如再将operation服务器的root权限给到tom。
2.2 默认特权用户权限
此时,tom可以进行任何操作,包括重启、创建与删除等。
2.3 添加命令过滤器
如果不对用户的操作行为加以限制,虽然JumpServer自带视频录像功能,但也可能会因操作人员的疏忽发生误操作。为了避免该类情况的出现,需要用到命令过滤器。
2.3.1 创建命令过滤器
点击“资产管理”—“命令过滤”—“创建”新建命令过滤器,因当前只有两个管理账号,笔者就不分组,选择tom和特权用户作为过滤器的对象。
2.3.2 创建过滤器规则
上一步的命令过滤器创建完毕,点击“规则”新增过滤器的过滤规则,包括白名单和黑名单两种形式,一般使用黑名单形式,只限制用户的默写特定操作。
2.4 tom管理用户测试
tom管理用户需退出之前的终端重新登录,重新登录后,虽然使用的是特权用户进行登录,但已经无法执行rm、reboot、init等操作。
注意事项:
JumpServer使用特权用户登录时虽然使用的是root身份,但并不影响真正服务器上的root进行操作,两者是分开的,例如笔者使用xshell终端连接operation主机,是可以将tom利用特权用户身份在/data/目录下创建的test目录删除掉的。