当前位置：首页 > news >正文

开源堡垒机 JumpServer 社区版实战教程：一步步构建企业安全运维环境

news 来源：原创 2025/5/16 3:42:22

文章目录

- 开源堡垒机 JumpServer 社区版实战教程：一步步构建企业安全运维环境
- - 一、访问JumpServer
  - - 1.1 登录
    - 1.2 功能模块
    - 1.3 系统设置
    - - 1.3.1 基本设置
      - 1.3.2 邮件设置
  - 二、用户管理
  - - 2.1 场景
    - 2.2 创建用户
    - 2.3 用户登录密码重置
  - 三、资产管理
  - - 3.1 准备工作
    - 3.2 登录控制台
    - 3.3 创建资产树
    - 3.4 创建节点
    - 3.5 创建资产
    - - 3.5.1 系统用户
      - 3.5.2 创建Linux资产
      - 3.5.3 创建Windows资产
      - 3.5.4 创建数据库资产
  - 四、创建授权规则
  - - 4.1 创建Linux资产授权规则
    - 4.2 创建Windows资产授权规则
    - 4.3 创建PostgreSQL数据库资产授权规则
  - 五、资产登录使用
  - - 5.1 网页登录
    - - 5.1.1 Linux资产登录
      - 5.1.2 Windows资产登录
      - 5.1.3 PostgreSQL数据库资产登录
    - 5.2 SSH工具登录
    - - 5.2.1 设置SSH登录
      - 5.2.2 Linux资产登录
      - 5.2.3 PostgreSQL数据库资产登录
  - 六、审计台
  - - 6.1 历史会话
    - 6.2 录像回放
  - 七、账户登录MFA加密（建议设置）
  - - 7.1 配置MFA加密
    - 7.2 管理员MFA登录测试
    - 7.3 全局启用MFA加密
    - 7.4 普通用户第一次登录MFA配置
    - 7.5 普通用户MFA登录测试

开源堡垒机 JumpServer 社区版实战教程：一步步构建企业安全运维环境

本文来讲如何访问 JumpServer 及配置和使用方法。

一、访问JumpServer

1.1 登录

安装成功后，通过浏览器访问登录 JumpServer。

地址: http:// ::<服务运行端口>，用户名: admin 密码: 你修改的密码。

进入 JumpServer。

1.2 功能模块

控制分为三大功能模块，控制台、审计台、工作台。

1.3 系统设置

点击页面右上角的系统设置进行配置。

1.3.1 基本设置

1.3.2 邮件设置

支持通过SMTP或EXCHANGE方式来对接邮件配置。

不可以同时勾选使用 SSL和使用 TLS。

必须要输入主题前缀，设置之后邮件的标题收到的邮件是JumpServer开头。

邮箱测试连接

如图，点击测试连接

收到邮件

二、用户管理

2.1 场景

用户 superman，针对服务器192.168.1.132/192.168.1.186和192.168.1.132上的 PostgreSQL 数据库进行运维。

2.2 创建用户

点击页面左侧的用户管理-用户列表-创建。

添加员工账户 superman ，系统角色用户即可。

2.3 用户登录密码重置

用户创建之后会收到一封邮件，要求修改用户密码。

密码修改之后会收到一封邮件，类似如下：

三、资产管理

3.1 准备工作

准备两个服务器资产和一个数据库资产来验证功能。

IP地址	主机名	端口	操作系统	管理员账户	管理员密码	备注
192.168.1.132	postgresql	22	Ubuntu 22.04.1	root	********************	Linux
192.168.1.186	win10	3389	Windows 10	administrator	********************	Windows
192.168.1.132	postgresql	5432	Ubuntu 22.04.1	postgres	********************	数据库

现在需要添加服务器192.168.1.132/192.168.1.186和192.168.1.132上的 PostgreSQL 数据库到 JumpServer 的资产管理上。

3.2 登录控制台

3.3 创建资产树

点击页面左侧的资产管理-资产列表。

**注意：**根节点Default不能重命名，右击节点可以添加、删除和重命名节点，以及进行资产相关的操作。

3.4 创建节点

在根节点Default右键可以新建SSH Server、RDP Server、Database、Web Server等节点。

3.5 创建资产

3.5.1 系统用户

系统用户选项，有普通用户和特权用户，有些人分不清楚。

这两个用户，都是给jumpserver这个软件使用的，jumpserver用这两个用户连接到其他服务器。

特权用户：最高权限，如 root 或拥有 NOPASSWD: ALL sudo 权限的用户，只允许jumpserver使用，JumpServer 使用该用户来 推送系统用户、获取资产硬件信息 等，系统也有提示。远程服务器上存在的用户信息。

普通用户：可以在服务器预先存在的用户，也可以由特权用户来自动创建。是superman登录服务器时用的用户名。也可以直接是特权用户root等，看权限分配。

创建特权用户，给jumpserver软件连接用，这里用的ubuntu，登录方式密钥，上传密钥即可。

普通用户，可创建也可以不创建，如直接使用特权用户ubuntu即可。如果创建后（如：user01），jumpserver会在远程服务器上通过ubuntu这个特权用户自动创建这个用户(如：user01)。

3.5.2 创建Linux资产

点击页面左侧的资产管理-资产列表-主机-创建。

创建一台 Linux 服务器，并在创建资产过程中，创建特权用户，内容就是上面表单的管理员用户和密码。

注意：

名称不能重名，密码或者密钥二选一即可，一些资产不允许通过密码认证可以改用私钥认证。
特权用户仅支持SSH协议，用于资产可连接性测试、推送用户、批量改密等自动化任务。
资产创建信息填写好保存之后隔几秒钟时间刷新一下网页，ssh协议资产的可连接图标会显示绿色，且硬件信息会显示出来。
如果可连接的图标是黄色或者红色，可以点击资产的名称，在右侧快速修改-测试可连接性点击测试按钮，根据错误提示处理。
被连接Linux资产需要python组件，且版本大于等于2.6，Ubuntu等资产默认不允许root用户远程ssh登录，请自行处理，Windows资产需要手动安装OpenSSH Server。
如果资产不能正常连接，请检查特权用户的用户名和密码是否正确以及该特权用户是否能使用SSH从JumpServer主机正确登录到资产主机上。

3.5.3 创建Windows资产

点击页面左侧的资产管理-资产列表-主机-创建。

创建一台 Windows 服务器，并在创建资产过程中，创建特权用户，内容就是上面表单的管理员用户和密码。

注意：

Windows RDP 资产要求
- 部分安装了安全软件的资产无法正常连接。
- 创建资产的 “资产平台” 默认情况下使用 Windows 即可。
Windows SSH 资产要求
- 安装好 Openssh 后，在 Web 的资产列表里面找到您的 Windows 资产，在协议组中加入 rdp 3389和 ssh 22协议，然后就可以使用资产测试连接、硬件信息获取、用户自动推送的功能。
- Win7/Win2008 需要升级 powershell 到 3.0 以上

账户密码没错的话，添加完成后，可以看到连接性是成功。

3.5.4 创建数据库资产

点击页面左侧的资产管理-资产列表-数据库-创建，选择 PostgreSQL数据库。

账户密码没错的话，添加完成后，可以看到连接性是成功。

配置之后，点击测试，看是否能连通。

出现一下信息表示连通成功。

点击资产列表名称查看资产详情。

四、创建授权规则

针对用户 superman 进行授权，并允许员工 superman 登录相关服务器和数据库。

注意：

名称，授权的名称，不能重复。
用户和用户组二选一，不推荐即选择用户又选择用户组。
资产和节点二选一，选择节点会包含节点下面的所有资产。
账号，账号为连接资产的认证凭据。
用户(组)，资产(节点)是一对一的关系，所以当拥有Linux、Windows不同类型资产时，应该分别给Linux资产和Windows资产创建授权规则。