堡垒机,意在利用良好的界面与易懂的方式对资产和人员进行管理、审计。
Jumpserver,国产、开源,美观。
本人于2018.10最后一个周末,亦即qdd招新结束之际,在测试服务器部署jumpserver,以便对两个服务器以及人数渐增的开发人员进行管理,另外纯web端的ssh连接与文件上传下载,较之前winscp+putty无疑更方便、更美观。
在部署过程中,虽运行jumpserver所需环境较为复杂(mysql+redis+nginx)、端口使用不少(2222,3306,5000,8080,2018),但可喜官方文档不尽详细,官方交流群工作人员耐心及时,jumpserver部署工作可最终圆满完成,成功运行在测试服务器2018端口上。
一些心得,记录如下,为自己、为同行。
- jumpserver原则上自身为一个独立应用,(理应)独占一台服务器,所占资源不可小觑。在部署的过程中出现了mysql因为内存不足挂掉的情况,分配了两gswap后得以解决。可对多项目进行管理,互不影响。
- 无论部署与使用,全程可以只用密码验证,无需使用秘钥文件。
- 管理用户的作用为获取硬件信息、推送系统用户,是服务器上的root用户与密码。
- 系统用户为操作系统的不同角色,不同的系统用户意味着(代表着)可执行的不同功能。
- 系统用户若登录不上,先查看管理用户是否连接正常,若管理用户无法正常连接,则必然推送系统用户失败,从而系统用户登录不成功也是必然。
- 一般用户使用的过程为,用户利用邮箱接收到的jumpserver账号密码登录jumpserver 2222(COCO)接口,然后以管理员设置并分授权给用户的系统用户身份登录资产22(真正服务器),进行操作。
- 用户登录sftp后的默认目录为/tmp/,可以参考问答区修改,需重启coco。注意coco可重复开启,需要将所有已开启的进程关闭。
网友评论