搭建JumpServer堡垒机管理数万台游戏服务器过程中首先要统一登录服务器,再登录目标设备进行维护和操作。跳板机的缺点:没有实现对运维人员操作行为的控制和审计。在使用跳板机的过程中,还是会出现误操作和违规操作造成的事故。一旦发生操作事故,难以快速定位原因和责任人;FortressMachine概述:堡垒机,即在特定的网络环境中,为了保护网络和数据免受外部和内部用户的入侵和破坏,采用各种技术手段对网络中各个组成部分的数据进行收集和监控实时网络环境。系统状态、安全事件、网络活动集中告警、及时处理、审计追责。总结:堡垒主机比跳板主机多了实时采集、监控网络环境、集中告警等功能。Jumpserver概述:Jumpserver是一个使用Python和Django开发的开源跳板系统,为互联网公司提供认证、授权、审计、自动化运维等功能。JumpServer现在支持管理SSH、Telnet、RDP、VNC协议资产官网:http://www.jumpserver.orgJumpServer2环境要求:硬件配置:4个CPU核,6G内存,50G硬盘(最低)1.2Jumpserver实验拓扑图实验环境:xuegod63IP:192.168.1.63jumpserverserver6G内存xuegod64IP:192.168.1.64resources,managedserver2G内存1.3初始化系统环境初始化系统环境关闭防火墙[root@xuegod63~]#systemctlstopfirewalld&&systemctldisablefirewalldclosesselinux[root@xuegod63~]#setenforce0永久关闭(重启后生效,先临时设置,再设置永久。)[root@xuegod63~]#sed-i"s/SELINUX=enforcing/SELINUX=disabled/g"/etc/selinux/config1.4自动部署安装jumpserver所需的相关服务[root@xuegod63~]#curl-SSLhttps://github.com/jumpserver/jumpserver/releases/download/v2.10.2/quick_start.sh|bashcd进入安装管理目录启动jms[root@xuegod63~]#cd/opt/jumpserver-installer-v2.10.2/[root@xuegod63jumpserver-installer-v2.10.2]#./jmsctl.shrestart注意:有不需要配置启动,因为新版本的jumpserver是用docker运行的。这些docker实例在启动时自动启动。Web访问,新版本提供了2个访问地址,一个http和一个httpshttp://192.168.1.63:8080/core...用户:admin密码:adminhttps://192.168.1.63:8443/cor...必填首先登录修改密码,这里我们把测试环境改成1234562jumpserver平台系统初始化2.1系统基本设置这里一定要写自己的真实URL地址,否则以后用户访问不了。http://192.168.1.63,设置完成后点击“提交”按钮。这里可以选择http或者httpshttp://192.168.1.63:8080https://192.168.1.63:8443我们使用https2.2来配置邮件发送服务器点击页面上方的“邮件设置”标签进入邮件设置页面配置163邮箱注意:您需要在邮箱中启用smtp和pop3服务并添加授权码:启用POP3/SMTP/IMAP服务方法:请登录163邮箱,点击右上角“设置”页面一角-“高级”下,点击“POP3/SMTP/IMAP”,打开图中两个选项,并打开客户端删除邮件提醒。可以成功打开。打开后,即可使用闪电邮、Outlook等软件收发邮件。新授权密码:ARYAOQXHFMXGBJVRbabrziluawkibaej我的授权码是系统自动生成的,需要复制保存。服务器地址:POP3服务器:pop.163.com|SMTP服务器:smtp.163.com|IMAP服务器:imap.163.com提交完成然后测试邮件是否可以正常发送。查看邮箱中的邮件3使用jumpserver管理王者荣耀上万个游戏服务器3.1用户管理1、添加用户组。用户名是Jumpserver登录帐户。用户组用于资产授权。当某项资产授权给某个用户组后,该用户组下的所有用户都可以使用该资产。角色用于区分用户是管理员还是普通用户。点击用户管理—>查看用户组—>添加用户组添加新组—>王者荣耀-华北运维部查看刚刚添加的组2、添加用户点击用户管理—>用户列表—>创建用户其中name为真实姓名,用户名为Jumpserver登录账号。然后点击提交。您将收到用户创建成功的邮件扩展名:MFA,Multi-FactorAuthentication,即多重身份验证,是一种简单有效的安全认证方式。它可以在用户名和密码之外增加另一层保护。MFA设备,也叫动态密码卡或Token卡,就是提供这种安全认证方式的设备。MFA设备如:硬件MFA设备硬件MFA设备如下图所示,正面的6位动态安全码每30秒更新一次,背面为硬件MFA设备的序列号。手机验证码:查看添加的用户使用隐身浏览器打开新窗口登录邮箱:提交用户信息成功后,Jumpserver会向您填写的邮箱发送一封包含“用户密码”的邮件。登录进入163邮箱查看邮箱如下:点击链接跳转到修改密码:123456使用浏览器隐身打开:https://192.168.1.63:8443/用户:mk密码:123456即可登录在成功。切换到admin用户,给新用户mk,配置sshkey。用户可以重新设置密码和SSHkey,方便以后登录:我使用mk用户在我的另一个linuxkey上生成自己的sshkey。[root@xuegod63~]#useraddmk[root@xuegod63~]#echo123456|passwd--stdinmk[root@xuegod63~]#su-mk[mk@xuegod63~]$ssh-keygen#一路输入[mk@xuegod63~]$cat~/.ssh/id_rsa.pubssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDFMqCGfXDW8UW7Dd0QoXxzvnsy/4+wVVS6pLJHE3QNXzHxg+uI1KRJwVtGiPWPtOQ4yj3HiMsBSLsFjOWFoIcv1myXYtLFuwovLfUJgyCwD/LHfSgJ821bUQ2w9uUkAKirBJtjKFC/E4l9Z+GgZmLr9ckRWfZOt3g+xD3iNlh/lD4FlTYz0U9hlb4GrpikP5WtsYZgpIImMTgPsxq3yspQGvTpzsj1ApfOgt0SEHsqd1yYv4K+2bokMDrpTSmvsHXTWCBwpXsp2NQA2s1aDKJIOTY3mDCDQdJl9aMbBAjErdYFvEoNybNdH98KTcEQeCsrCrI0SfR9mk@xuegod63.cn把上面生成的公钥粘到这里:提交Complete3.2EditingtheassettreetoaddnodesUsetheadminusertologintothe跳转服务器并添加节点。节点不能重命名。右键单击节点可以添加、删除和重命名节点,以及执行与资产相关的操作。名字是:王者荣耀-华北-服务器3.3创建管理用户Jumpserver中各个用户的说明:管理用户是服务器的root,或者是一个拥有NOPASSWD:ALLsudo权限的用户,Jumpserver使用这个用户来推送系统用户,获取资产硬件信息等。名称:王者荣耀-华北-服务器管理用户-root密码为:123456前提是您的王者荣耀-华北-服务器节点中所有服务器的root用户密码为:123456,所以您可以使用该root用户来管理服务器。注意:在创建管理用户时的“密码”中,需要指定为服务器linux系统中真实root用户的密码。3.4创建系统用户系统用户是Jumpserver跳转登录资产时使用的用户,可以理解为登录资产用户,Jumpserver使用系统用户登录资产。系统用户sudo一栏填写允许当前系统用户执行的程序路径,无需sudo密码,比如默认的/sbin/ifconfig,表示当前系统用户可以直接执行ifconfig命令或者sudoifconfig在不输入当前系统用户密码的情况下,执行其他命令仍然需要输入密码才能达到权限控制的目的。这里的权限应该根据用户的需要进行归纳和定制。原则上,最少的许可就足够了。在创建系统用户时,如果选择了自动推送,Jumpserver会使用Ansible自动将系统用户推送到资产中。如果资产(交换机、Windows)不支持Ansible,请手动填写账号密码。Linux系统协议项一定要选择ssh。如果用户已经存在于系统中,请去掉自动生成密钥和自动推送的复选框。添加名称:查看服务器运行状态的用户;用户名:用户权限:/sbin/ifconfig,/usr/bin/top,/usr/bin/free添加系统管理员用户名:系统管理员用户;用户名:managersudo权限:/usr/local/sbin/,/usr/local/bin/,/usr/sbin/,/usr/bin/,/root/bin/注意:如果写目录,没有具体命令是必须的。在目录路径末尾加一个/,这样可以看得更清楚。当然,不加/也是可以的,但是有时候/usr/local/sbin可能会被当做一个命令。必须用逗号分隔。3.5创建资产注意:添加资产之前,一定要先运行xuegod64,启动虚拟机xuegod64.cn。一段时间后,这台机器将作为资源添加到平台中。主机名:game64.xuegod.cn-王者荣耀-华北IP:192.168.1.64系统平台:Linux协议组:ssh22管理用户:王者荣耀-华北-服务器管理用户-root(root)设置和点击“提交”。资产创建信息填写保存后,按F5刷新页面,可以看到资产可以连接,说明正常:如果资产不能正常连接,请检查用户名和密钥是否正确管理用户是否正确以及管理用户是否可以正确使用从Jumpserver主机到资产主机的SSH。3.6创建授权规则节点,对应资产,代表该节点下的所有资产。一个用户组对应一个用户,代表该用户组下的所有用户。系统用户和所选用户组下的用户可以通过系统用户使用所选节点下的资产。节点、用户组和系统用户是一一对应的关系,所以当你有Linux和Windows不同类型的资产时,你应该分别为Linux资产和Windows资产创建授权规则。名称:王者荣耀-花花区-服务器授权规则注:用户和用户组是指授权给谁。如果一个用户组被授权,则该组中的所有用户都具有权限。用户:不用写用户组:王者荣耀-华北运维部备注资产和节点可以单独资产授权,也可以按节点授权。华北节点授权是指授权华北节点下的所有服务器。资源:节点:/默认/王者荣耀-华北-服务器操作:勾选权限,点击分配详细权限。对于其他选项,使用默认值并提交。注:该授权的含义是:只要“王者荣耀-华北区运维部”群里的人拥有“王者荣耀-华北区”节点内所有服务器的“系统管理员用户”中国服务器”权限。授权成功后,可以在xuegod64上手动查看:[root@xuegod64~]#tail/etc/passwd-n5dbus:x:81:81:Systemmessagebus:/:/sbin/nologinpolkitd:x:999:998:polkitd的用户:/:/sbin/nologinsshd:x:74:74:特权分离的SSH:/var/empty/sshd:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologinmanager:x:1000:1000:systemadministratoruser:/home/manager:/bin/bash#自动推送账号,在资产服务器上自动创建系统用户[root@xuegod64~]#visudo#sudo相关规则也会自动推送managerALL=(ALL)NOPASSWD:/usr/local/sbin,/usr/local/bin,/usr/sbin,/usr/bin,/root/bin3.7用户使用assets来登录Jumpserver:https://192.168.1.63:8443用户:mk密码:123456创建授权规则时,选择了一个用户组,所以需要登录选择的用户组下的用户,才能看到对应的资产。使用隐身浏览器,另开一个窗口,登录:用户正确登录后的页面:1.使用web界面连接资产,点击页面左侧的Web终端:打开所在节点资产所在:双击资产名称,连接资产是:如果显示连接超时,请检查分配给资产的系统用户用户名和密钥是否正确,Linux操作系统,协议ssh、22端口是否正确选择,资产的防火墙策略是否配置正确。接下来,您可以对资产进行操作。3.8xshell字符终端下连接jumpserver管理服务器[root@xuegod63~]#ssh-p2222mk@192.168.1.63#连接jumpserver或者使用xshell连接jumpserver,输入jumpserver用户mk和密码123456,点击确定开始连接opt>64#输入64直接登录:192.168.1.64正在连接邮箱:manager@game64.xuegod.cn-王者荣耀-华北0.3上次登录时间:ThuJun723:15:131718fromxuegod63.cn[manager@xuegod64~]$whoami#发现登录是用系统用户managermanager[manager@xuegod64~]$exit注销Opt>p#显示你有权限的主机Opt>g#显示主机组你有权限3.9查看历史命令记录3.10查看历史会话和回放视频在线会话历史会话3.11文件管理功能在这里,你可以创建新的文件夹和上传文件到服务器。这些创建和上传的文件会存放在目标服务器的/tmp目录下[root@xuegod64~]#ls/tmp/3.12作业中心1.任务列表作业是Jumpserver向其管理的资产发送的命令。例如,测试资产连接、获取资产硬件信息、测试管理员用户连接和测试系统用户连接等命令。默认显示最近7天的作业记录。点击作业名称可以查看作业的具体详情、作业历史版本、作业执行历史。2、批量命令可以通过该功能快速向资产下发命令。目前只支持ansible可以管理的资产,需要系统用户登录。要自动登录更多内容,可以参数化官方手册:https://jumpserver.readthedoc...https://docs.jumpserver.org/z...4使用jumpserver管理mysql数据库4.1安装mariadb数据库[root@xuegod64~]#yuminstall-ymariadb-server[root@xuegod64~]#systemctlenable--nowmariadbsetrootpassword[root@xuegod64~]#mysqladmin-urootpassword"123456"创建ecshop数据库和xuegod用户,指定xuegod用户可以从任何地方登录mysql数据库。[root@xuegod64~]#mysql-uroot-p123456MariaDB[(none)]>创建数据库ecshop;MariaDB[(none)]>使用ecshop;#创建电子商务网站数据库ecshopMariaDB[(none)]>创建表user(idint(20),namechar(40));#创建表userMariaDB[(none)]>grantallprivilegeson*.*to'xuegod'@'%'identifiedby'123456';4.2jumpserver管理数据库添加Mysql系统用户名:xuegod-mysql登录方式:自动登录账号信息为安装数据库后创建的授权用户用户名:xuegod密码:123456创建应用名称:xuegod-mysql主机:192.168.1.64端口:3306注意:这里的数据库指的是mysql中的哪个库,我们的测试环境可以选择mysql数据库。指定登录后使用的数据库:ecshop应用授权名称:xuegod-mysql用户组:王者荣耀-华北运维部应用:xuegod-mysql系统用户:xuegod-mysql授权完成后,以mk登录用户,您可以在Web终端中管理mysql应用程序。总结:17.1Jumpserver堡垒机概述-部署Jumpserver运行环境17.2Jumpserver平台系统初始化17.3实战:使用Jumpserver管理数万王者荣耀游戏服务器17.4使用Jumpserver管理Mysql数据库想获取相关视频教程,+V回复:“JumpServer”即可获取!
