1 Jumpserver 堡壘機概述-部署 Jumpserver 運行環境

1.1跳板機概述

跳板機就是一臺服務器，開發或運維人員在維護過程中首先要統一登錄到這臺服務器，然后再登錄到

目標設備進行維護和操作。

跳板機缺點：沒有實現對運維人員操作行為的控制和審計，使用跳板機的過程中還是會出現誤操作、

違規操作導致的事故，一旦出現操作事故很難快速定位到原因和責任人；

堡壘機概述：

堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，

而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便

集中報警、及時處理及審計定責。

總結：堡壘機比跳板機多了實時收集、監控網絡環境、集中報警等功能。

Jumpserver 概述：

Jumpserver 是一款使用 Python, Django 開發的開源跳板機系統, 為互聯網企業提供了認證，授

權，審計，自動化運維等功能。JumpServer 現已支持管理 SSH、 Telnet、 RDP、 VNC 協議資產

官方網址： http://www.jumpserver.org

JumpServer 2 環境要求:

硬件配置: 4 個 CPU 核心, 6G 內存, 50G 硬盤（最低）

1.2Jumpserver 實驗拓撲圖

實驗環境：

xuegod63 IP : 192.168.1.63 jumpserver 服務端 6G 內存

xuegod64 IP：192.168.1.64 資源，被管理的服務器 2G 內存

1.3初始化系統環境

初始化系統環境

關閉防火墻

[root@xuegod63~]# systemctl stop firewalld&&systemctl disable firewalld

關閉 selinux

[root@xuegod63~]# setenforce0

永久關閉（重啟后生效，先設置臨時再設置永久。）

[root@xuegod63~]# sed-i"s/SELINUX=enforcing/SELINUX=disabled/g"/etc/selinux/config

1.4安裝 jumpserver 所需相關服務

自動部署

[root@xuegod63~]# curl-sSL https://github.com/jumpserver/jumpserver/releases/download/v2.10.2/quick_start.sh | bash

cd 進入安裝管理目錄啟動 jms

[root@xuegod63~]# cd/opt/jumpserver-installer-v2.10.2/[root@xuegod63 jumpserver-installer-v2.10.2]#./jmsctl.sh restart

注：不用配置開機啟動，因為新版本的 jumpserver 是以 docker 運行的。這些 docker 實例開身就是開機自動啟動的。

Web 訪問，新版本提供了 2 個訪問地址一個 http 一個 https

http://192.168.1.63:8080/core/auth/login/ 用戶：admin 密碼： admin

https://192.168.1.63:8443/core/auth/login/

首次登錄需要修改密碼，這里我們測試環境修改為 123456

2 jumpserver 平臺系統初始化

2.1系統基本設置

這里要寫成自己真實的 URL 地址，不然后期用戶訪問不了。http://192.168.1.63，設置完成后，

并點擊“提交”按鈕。

這里可以選擇 http 或 https

http://192.168.1.63:8080

https://192.168.1.63:8443

我們使用 https

2.2配置郵件發送服務器

點擊頁面上邊的"郵件設置" TAB ，進入郵件設置頁面

配置 163 郵箱

注：自己郵箱要開啟 smtp 和 pop3 服務并增加授權碼:

開啟 POP3/SMTP/IMAP 服務方法：

請登錄 163 郵箱，點擊頁面右上角的“設置”—在“高級”下，點“POP3/SMTP/IMAP”，開啟

圖中兩個選項，并開啟客戶端刪除郵件提醒。即可開啟成功。開通后即可用閃電郵、Outlook 等軟件收

發郵件了。

新增授權密碼：

ARYAOQXHFMXGBJVR

babrziluawkibaej

我的授權碼是系統自動生成的，需要復制保存

服務器地址：POP3 服務器：pop.163.com | SMTP 服務器：smtp.163.com | IMAP 服務

器：imap.163.com

提交完之后測試郵件是否能夠正常發送。

郵箱中查看郵件

3 使用 jumpserver 管理王者榮耀數萬臺游戲服務器

3.1用戶管理

1、添加用戶組。

用戶名即 Jumpserver 登錄賬號。用戶組是用于資產授權，當某個資產對一個用戶組授權后，這個

用戶組下面的所有用戶就都可以使用這個資產了。角色用于區分一個用戶是管理員還是普通用戶。

點擊用戶管理 —> 查看用戶組 —> 添加用戶組

添加新的小組 —> 王者榮耀-華北區運維部門

查看剛才添加的組

2、添加用戶

點擊用戶管理 —> 用戶列表 —> 創建用戶

其中，名稱是真實姓名，用戶名即 Jumpserver 登錄賬號。

然后點提交。就會收到用戶創建成功的郵件

擴展：

MFA，Multi-FactorAuthentication，即多因子認證，是一種簡單有效的安全認證方法。它能夠在

用戶名和密碼之外，再增加一層保護。MFA 設備，又叫動態口令卡或 Token 卡，是提供這種安全認證

方法的設備。

MFA 設備如：

硬件 MFA 設備

硬件 MFA 設備如下圖所示，正面的 6 位數動態安全碼 30 秒更新一次，背面有該硬件 MFA 設備

的序列號。

手機校驗碼：

查看添加的用戶

使用無痕瀏覽器，打開一個新窗口，登錄郵箱：

成功提交用戶信息后，Jumpserver 會發送一條設置"用戶密碼"的郵件到您填寫的郵箱。

登錄一下 163 郵箱，查看郵件如下：

點擊鏈接，跳轉到 修改密碼：123456

使用瀏覽器，無痕模式打開：https://192.168.1.63:8443/ 用戶：mk 密碼： 123456

能登錄成功。

切換到 admin 用戶，給新用戶 mk，配置 ssh 密鑰

用戶可以重置密碼，也可以重置 SSH 密鑰，方便后期登錄：我在自己的另一臺 linux 上，使用 mk

用戶生成自己的 ssh 密鑰。

[root@xuegod63~]# useradd mk[root@xuegod63~]# echo123456|passwd--stdinmk[root@xuegod63~]# su-mk[mk@xuegod63~]$ ssh-keygen? ? #一路回車[mk@xuegod63~]$ cat~/.ssh/id_rsa.pubssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDFMqCGfXDW8UW7Dd0QoXzvnny/4u9ET2sKBt2SQf+wVVS6pLJHE3QNXzHxg+uI1KRJwVtGiPWPtOQ4yj3HiMsBSLsFjOWFoIcv1myXYtLFuwovLfUJgyCwD/LHfSgJ821bUQ2w9uUkAKirBJtjKFC/E4l9Z+GgZmLr9ckRWfZOt3g+xD3iNlh/lD4FlTYz0U9hlb4GrpikP5WtsYZgpIImMTgPsxq3yspQGvTpzsj1ApfOgt0SEHsqd1yYv4K+2bokMDrpTSmvsHXTWCBwpXsp2NQA2s1aDKJIOTY3mDCDQdJl9aMbBAjErdYFvEoNybNdH98KTcEQeCsrCrI0SfR9 mk@xuegod63.cn

把上面生成的公鑰粘到這里：

提交完成

3.2編輯資產樹添加節點

使用 admin 用戶登錄 jumpserver，添加節點，節點不能重名，右擊節點可以添加、刪除和重命名

節點，以及進行資產相關的操作。

名字為：王者榮耀-華北區-服務器

3.3創建管理用戶

Jumpserver 里各個用戶的說明：

管理用戶是服務器的 root，或擁有 NOPASSWD: ALL sudo 權限的用戶，Jumpserver 使用該

用戶來推送系統用戶、獲取資產硬件信息等。

名稱： 王者榮耀-華北區-服務器管理用戶-root 密碼是： 123456

前提，你的王者榮耀-華北區-服務器節點中所有的服務器 root 用戶密碼都是：123456

這樣就可以使用此 root 用戶管理服務器。

注意：在創建管理用戶時的“密碼”處，需要指定為服務器 linux 系統中真實的 root 用戶的密碼。

3.4創建系統用戶

系統用戶是 Jumpserver 跳轉登錄資產時使用的用戶，可以理解為登錄資產用戶， Jumpserver

使用系統用戶登錄資產。

系統用戶的 Sudo 欄填寫允許當前系統用戶免 sudo 密碼執行的程序路徑，如默認的

/sbin/ifconfig，意思是當前系統用戶可以直接執行 ifconfig 命令或 sudo ifconfig 而不需要輸入當

前系統用戶的密碼，執行其他的命令任然需要密碼，以此來達到權限控制的目的。

#此處的權限應該根據使用用戶的需求匯總后定制，原則上給予最小權限即可。

系統用戶創建時，如果選擇了自動推送 Jumpserver 會使用 Ansible 自動推送系統用戶到資產

中，如果資產(交換機、Windows )不支持 Ansible, 請手動填寫賬號密碼。

Linux 系統協議項務必選擇 ssh 。如果用戶在系統中已存在，請去掉自動生成密鑰、自動推送勾

選。

增加一個名稱：檢查服務器運行狀態的用戶；

用戶名 ： user

權限： /sbin/ifconfig,/usr/bin/top,/usr/bin/free

添加系統管理員用戶

名稱： 系統管理員用戶

; 用戶名：manager

sudo 權限：/usr/local/sbin/,/usr/local/bin/,/usr/sbin/,/usr/bin/,/root/bin/

注：如果寫的是一個目錄，不用具體命令。 目錄路徑最后面加一個/，這樣看得更清楚。當然不加/

也可以，只是有時可能會把/usr/local/sbin 當成一個命令。 必須使用英文逗號分隔。

3.5創建資產

注： 增加資產前，一定要把 xuegod64,先運行起來

開啟虛擬機 xuegod64.cn。 一會把這臺機器當成資源添加平臺中。

主機名：game64.xuegod.cn-王者榮耀-華北區

IP: 192.168.1.64

系統平臺：Linux

協議組：ssh 22

管理用戶：王者榮耀-華北區-服務器管理用戶-root(root)

設置完成并點“提交”。

資產創建信息填寫好保存之后,按下 F5 刷新一下頁面，可以看到已經可以連接資產，說明正常：

如果資產不能正常連接，請檢查管理用戶的用戶名和密鑰是否正確以及該管理用戶是否能使用 SSH

從 Jumpserver 主機正確登錄到資產主機上。

3.6創建授權規則

節點，對應的是資產，代表該節點下的所有資產。

用戶組，對應的是用戶，代表該用戶組下所有的用戶。

系統用戶，及所選的用戶組下的用戶能通過該系統用戶使用所選節點下的資產。

節點，用戶組，系統用戶是一對一的關系，所以當擁有 Linux、Windows 不同類型資產時，應該

分別給 Linux 資產和 Windows 資產創建授權規則。

名稱：王者榮耀-華化區-服務器授權規則

#注：用戶和用戶組是指要給誰授權，如果授權了用戶組，則該組中用戶全部擁有權限。

用戶：不用寫

用戶組： 王者榮耀-華北運維部門

注資產和節點可授權單個資產也可按照節點進行授權。授權華北節點則華北節點下所有服務器被授

權。

資產：

節點：/Default/王者榮耀-華北區-服務器

動作：權限打勾，點開可以分配詳細權限。

其它選項，使用默認，然后提交就可以了。

注：這一條授權的含意是： 只要是“王者榮耀-華北區運維部門”組中的人，對節點“王者榮耀-華

北區-服務器”中的所有服務器，擁有“系統管理員用戶”的權限。

授權成功后，你自己手動到 xuegod64 上查看：

[root@xuegod64~]# tail/etc/passwd-n5dbus:x:81:81:System message bus:/:/sbin/nologinpolkitd:x:999:998:Userforpolkitd:/:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologinmanager:x:1000:1000:系統管理員用戶:/home/manager:/bin/bash? #自動推送一個帳號，自動在資產服務器上創建系統用戶[root@xuegod64~]# visudo? #sudo? 相關的規則也會被自動推送過來manager ALL=(ALL)NOPASSWD:/usr/local/sbin,/usr/local/bin,/usr/sbin,/usr/bin,/root/bin

3.7用戶使用資產

登錄 Jumpserver : https://192.168.1.63:8443 用戶： mk 密碼： 123456

創建授權規則的時候，選擇了用戶組，所以這里需要登錄所選用戶組下面的用戶才能看見相應的資

產。

使用無痕瀏覽器，再打開一個窗口，進行登錄：

用戶正確登錄后的頁面：

1、使用 web 界面連接資產，點擊頁面左邊的 Web 終端：

打開資產所在的節點：

雙擊資產名字，就連上資產了：

如果顯示連接超時，請檢查為資產分配的系統用戶用戶名和密鑰是否正確，是否正確選擇 Linux 操

作系統，協議 ssh，端口 22，以及資產的防火墻策略是否正確配置等信息。

接下來，就可以對資產進行操作了。

3.8在 xshell 字符終端下連接 jumpserver 管理服務器

[root@xuegod63~]# ssh-p2222 mk@192.168.1.63#進行鏈接? jumpserver 或使用 xshell 進行連接? jumpserver

輸入 jumpserver 用戶 mk 和密碼 123456

點擊確定開始連接

Opt> 64 #輸入一個 64，就可以直接登錄：192.168.1.64

Connecting to manager@game64.xuegod.cn-王者榮耀-華北區 0.3

Last login: Thu Jun 7 23:15:13 1718 from xuegod63.cn

[manager@xuegod64 ~]$ whoami #發現登錄使用的是系統用戶 manager

manager

[manager@xuegod64 ~]$ exit

登出

Opt> p #顯示你有權限的主機

Opt> g #顯示你有權限的主機組

3.9查看歷史命令記錄

3.10查看歷史會話并回放視頻

在線會話

歷史會話

3.11文件管理功能

在這此，可以新建文件夾，也可以上傳文件到服務器。這些創建的文件和上傳的文件，都會存在目標

服務器的/tmp 目錄下

[root@xuegod64~]# ls/tmp/

3.12作業中心

1、任務列表

作業是 Jumpserver 向其所管理下的資產發送的指令, 例如, 測試資產可連接性、獲取資產硬件信

息、測試管理用戶可連接性和測試系統用戶可連接性等命令。默認展示最近 7 天的作業記錄。

點擊作業名稱可以查看作業的具體詳情、作業的歷史版本以及作業執行的歷史記錄

2、批量命令

可以通過該功能快速下發命令到資產, 目前僅支持能被 ansible 管理的資產, 要求 系統用戶 登陸方

式為 自動登陸

更多內容，可以參數官方手冊：

https://jumpserver.readthedocs.io/zh/master/

https://docs.jumpserver.org/zh/1.4.8/introduce.html

4 使用 jumpserver 管理 mysql 數據庫

4.1安裝 mariadb 數據庫

[root@xuegod64~]# yum install-y mariadb-server[root@xuegod64~]# systemctl enable--nowmariadb設置 root? 密碼[root@xuegod64~]# mysqladmin-uroot password"123456"創建 ecshop 數據庫和 xuegod 用戶，要指定 xuegod 用戶可以從任意地方登錄 mysql? 數據庫。[root@xuegod64~]# mysql-uroot-p123456MariaDB[(none)]>create database ecshop;MariaDB[(none)]>use ecshop;#創建電商網站數據庫? ecshopMariaDB[(none)]>create tableuser(idint(20),namechar(40));#創建一個表? userMariaDB[(none)]>grant all privileges on*.*to'xuegod'@'%'identified? by'123456';

4.2jumpserver 管理數據庫

添加 Mysql 系統用戶

名稱：xuegod-mysql

登錄模式：自動登錄

#賬戶信息為安裝數據庫后創建的授權用戶

用戶名：xuegod

密碼：123456

創建應用

名稱：xuegod-mysql

主機：192.168.1.64

端口：3306

注：這里數據庫是指 mysql 中的哪個庫，我們測試環境選擇 mysql 數據庫即可。

指定登錄后，要使用的數據庫：ecshop

應用授權

名稱：xuegod-mysql

用戶組：王者榮耀-華北區運維部門

應用：xuegod-mysql

系統用戶：xuegod-mysql

授權完成后，以 mk 用戶登錄，就可以在 Web 終端中管理 mysql 應用了。

總結：

17.1Jumpserver 堡壘機概述-部署 Jumpserver 運行環境

17.2jumpserver 平臺系統初始化

17.3實戰：使用 jumpserver 管理王者榮耀數萬臺游戲服務器

17.4使用 jumpserver 管理 mysql 數據庫