Jumpserver

在JumpServer里面跳转到一台MySQL服务器时，出现下面错误 “ 认证失败 Authentication Error ” Opt or ID>: 5 Only match Host: xxxx Connecting xxxx ... 认证失败 Authentication Error. 首先检查JumpServer的日志 /opt/jumpserver/logs/jumpserver.log,发现下面一些日志信息 2020-06-23 15:43:15,581 - connect.py - DEBUG - { 'ip' : u '192.168.xxx.xxx' , 'role_name' : u 'xxxxx' , 'role_key' : u '/opt/jumpserver/keys/user/xxxxx_xxxxx.pem' , 'user' : <User: xxxxx>, 'role_pass' : 'xxxxx' , 'port' : 22, 'asset' : <Asset: 192.168.xxx.xxx>} 2020-06-23 15:43:17,815 - connect.py - WARNING - 使用ssh key /opt/jumpserver/keys/user/xxxxx_xxxxx.pem 失败, 尝试只使用密码

前言   相信各位小伙伴在准备面试的时候，AOP都是无法绕过的一个点，经常能看到动态代理、JDK动态代理、CGLIB动态代理这样的字眼。其实动态代理是代理模式的一种。代理模式有静态代理、强制代理、动态代理。所以在认识AOP之前需要了解代理模式。 代理模式定义   代理模式（Proxy Pattern）：为其他对象提供一种代理以控制这个对象的访问。 Subject 抽象主题角色，也叫做抽象主题类。可以是抽象类也可以是接口，是一个最普通的业务类型定义，无特殊要求。 RealSubject 具体主题角色，也叫做被委托角色，被代理角色，是业务逻辑的具体执行者。 Proxy 代理主题角色，也叫做委托类、代理类。他负责对真实角色的应用，把所有抽象主题类定义的方法限制委托给真实主题角色实现，并且在真实主题角色处理完毕前后做到预处理和善后工作。 代理模式的优点 职责清晰 高扩展性 智能化 UML 我的理解   跳板机不管是对于运维老哥还是对于我们来讲，都是日常的工作中不可或缺的一个工具。为了保证生产服务器的安全，我们是无法通过xshell等工具直接进行连接的。如果需要操作生产的服务器，则需要通过跳板机。并且跳板机还能记录我们的操作，用来做安全审计。防止出现，某位老哥一气之下反手就是个 sudo rm -rf /* 直接凉凉。   我们回过头看看代理模式的定义：

基于docker-compose部署jumpserver 组件说明 Jumpserver 为管理后台, 管理员可以通过 Web 页面进行资产管理、用户管理、资产授权等操作, 用户可以通过 Web 页面进行资产登录, 文件管理等操作 koko 为 SSH Server 和 Web Terminal Server 。用户可以使用自己的账户通过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产 Luna 为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件 Guacamole 为 RDP 协议和 VNC 协议资产组件, 用户可以通过 Web Terminal 来连接 RDP 协议和 VNC 协议资产 (暂时只能通过 Web Terminal 来访问) 端口说明 Jumpserver 默认 Web 端口为 8080/tcp, 默认 WS 端口为 8070/tcp, 配置文件 jumpserver/config.yml koko 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 koko/config.yml Guacamole 默认端口为 8081/tcp, 配置文件 /config/tomcat9/conf/server.xml

简单说一下OPENLDAP对运维管理的价值，支撑企业技术发展比如GIT，ZABBIX，JUMPSERVER，OA等大大小小系统，乃至Windows，Linux系统的认证登录。 如果每个平台都需要维护一个用户管理体系，那么如果一个员工拥有N个平台权限离职及常规权限变更，对于的管理无疑也是一个挑战，也无法做到精细化权限管理。 通过LDAP技术我们可以实现多平台账号集中管理，权限灵活控制，密码强度及其有效期的约束，将用户管理与各个平台解耦，最终实现一次修改N处生效。 OpenLDAP快速安装 本次实验环境安装以CentOS7.4+OpenLDAP2.4.4为基础环境 安装包说明 包名 作用 openldap OpenLDAP服务端和客户端用的库文件 openldap-servers 服务端程序 openldap-clients 客户端程序 openldap-devel 开发包，可选 openldap-servers-sql 支持sql模块，可选 migrationtools 实现OpenLDAP用户及用户组的添加，导入系统账户，可选 compat-openldap OpenLDAP 兼容性库 借鉴链接： 相关链接：< https://ldapwiki.com/wiki/0.9.2342.19200300.100.4.13> ; 配置repo源 mkdir /etc/yum.repos.d

一、仪表盘 二、用户管理 1、用户列表 2、用户组 三、资产管理 1、资产列表 1.1 管理资产树 资产树节点不能重名, 右击节点可以添加、删除和重命名节点, 以及进行资产相关的操作 1.2 为资产树节点创建资产 在资产列表页面, 先在左侧选择资产要加入的节点, 然后在右侧选择创建资产 2、网域列表 网域功能是为了解决部分环境（如：混合云）无法直接连接而新增的功能，原理是通过网关服务器进行跳转登录 3、管理用户 是资产（被控服务器）上的root，或拥有 NOPASSWD: ALL sudo权限的用户， Jumpserver使用该用户来 推送系统用户、获取资产硬件信息 等。暂不支持 Windows或其它硬件， 可以随意设置一个 4、系统用户 5、标签管理 标签名称可以重名, 一个资产可以有多个标签产。标签删除, 资产上的标签信息会自动消失 6、命令过滤 系统用户可以绑定一些命令过滤器，一个过滤器可以定义一些规则 当用户使用这个系统用户登录资产，然后执行一个命令 这个命令需要被绑定过滤器的所有规则匹配，高优先级先被匹配, 当一个规则匹配到了，如果规则的动作是 允许, 这个命令会被放行, 如果规则的动作是 禁止，命令将会被禁止执行, 否则就匹配下一个规则，如果最后没有匹配到规则，则允许执行 四、权限管理 1、资产授权 把资产授权给用户后, 用户才能在 "我的资产" 里面看到资产,

一、jumpserver的启动 1 2 Jumpserver的启动和重启 [root@ test -vm001 install ] # /opt/jumpserver/service.sh start/restart 二、按照Jumpserver部署过程结尾的账号信息（admin/wangadmin@123）登陆Jumpserver的web界面 修改admin超级管理员的密码 只修改admin的密码即可，SSH秘钥不需要重新生成 然后注销，使用admin重置后的新密码登陆Jumpserver！ 三、下面正式记录下Jumpserver的用户添加、推送及堡垒机方式登陆到目标机器的操作 1. 添加用户组（如下以添加ops用户组为例） 2. 添加用户（如下以添加wangshibo用户为例；注意这个用户添加成功后，也会在Jumpserver部署机上自动生成。那么删除这个用户后，也会自动从部署机上删除） 然后到上面添加wangshibo用户时配置的邮箱里会收到一封邮件，如下： 对于上面邮件里的内容，要注意以下几点： web登录密码：是指使用wangshibo用户登陆Jumpserver的web界面的密码，这个密码在王士博用户登陆到Jumpserver界面后可以修改。 密钥下载地址：是指下载wangshibo用户登陆Jumpserver部署机的密码的地址，可以通过打开邮件里的这个地址进行下载

用户管理： 这里的用户说的是登录跳板机的账号，通过这个账号可以登录跳板机 资产管理： 资产管理/ 管理用户： 有权限对最终的目标服务器进行管理的用户，可以单独创建，也可以直接使用root用户 资产管理/ 系统用户： 跳板机通过在目标服务器中添加该用户对跳板机进行管理 # 跳板机在目标服务器上做的操作，手动模拟，实际是使用ansible操作的： 1.添加用户 useradd readuser mkdir -p /home/readuser/.ssh 2.授权免秘钥登录用户 vim /home/readuser/.ssh/authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnP9rEiZVQ3Z4fvPZHuJWW95oAHnnlq7OF8l5+lam6IdbxkTDCzD8a/zuzjPRXvnuBOvolz5pP98Wa8Ob2FVRb1pixC8bXt2NbSi49U7u190LdBGJAfx9czZw+tfZ11gjXHOh6lvgdo PqmI93bpCgkMe4iaoJO3XTCBXhguWZcex0X0g1kdvGgFrUc2EglNzdkW/gRDNaIre6RYRD+i2E8vPchcDFX1PRdkmylfKEA8HQG6toc2I11cYrnPU1OT5Ufnvmg

堡垒机介绍 搭建简单的堡垒机 搭建简易堡垒机 – jailkit chroot 搭建简易堡垒机 – 日志审计 开源堡垒机jumpserver介绍 jumpserver安装 Jumpserver使用 Jumpserver里面的用户 1. 堡垒机介绍 在一个特定网络环境下，为了保障网络和数据不受外界入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。 我们又把堡垒机叫做跳板机，简易的跳板机功能简单，主要核心功能是远程登录服务器和日志审计。 比较优秀的开源软件jumpserver，认证、授权、审计、自动化、资产管理。 商业堡垒机：齐治, Citrix XenApp 2. 搭建简单的堡垒机 具备堡垒机的条件是，该机器有公司和私网，其中私网和机房其他机器互通 设计堡垒机思路 跳板机安全设置（iptables端口限制、登录限制sshd_config） 用户、命令权限限制（jailkit) http://blog.chinaunix.net/uid-28310119-id-3503318.html 客户机器日志审计 http://www.68idc.cn/help/server/linux/2014042190951.html 3. 搭建简易堡垒机 – jailkit chroot wget https:/

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 申明 本文所有内容参考自 jumpserver记录命令无法入库问题 #1773 简介 jumpserver 1.4.0在jumpserver.log中大量报错，错误日志 File "/opt/jumpserver/apps/terminal/api.py", line 246, in create ok = self.command_store.bulk_save(serializer.validated_data) File "/opt/jumpserver/apps/terminal/backends/command/db.py", line 38, in bulk_save return self.model.objects.bulk_create(_commands) django.db.utils.OperationalError: (1366, "Incorrect string value: '\\xF2\\xB7\\xAF\\x8A.\\xEF...' for column 'output' at row 1") 究其原因，是由于数据库中要插入 emoji 表情符号。官网上安装教程中建立的是 uft-8 字符集的数据库，而要支持 emoji 需要使用 utf8mb4 ,因此报错。 解决

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 25.17 用docker compose部署服务 25.18 docker compose示例 25.17 用docker compose部署服务 比如我们用dockerfile做了一些镜像，这些景象有nginx的，有mysql的，有redis的，现在要把这三个镜像，让他们同时启动批量的管理。我要跑一个服务，就可能要docker run 第一个，docker run第二个等等，但是这样很繁琐。当然可以写一个脚本，而这个docker compose就类似与shell脚本，他可以批量的管理几个容器 就像jumpserver，那新版的jumpserver用到了一个高版本的python，他的环境不是很好部署，所以他就借助于docker，自动的把这个环境部署好。也及时说，把jumpserver放到有docker的服务器上，他就可以运行了，只不过我们跑的是一个docker容器，他用到的就是compose docker compose可以方便我们快捷高效地管理容器的启动、停止、重启等操作，它类似于linux下的shell脚本，基于yaml语法，在该文件里我们可以描述应用的架构，比如用什么镜像、数据卷、网络模式、监听端口等信息。我们可以在一个compose文件中定义一个多容器的应用（比如jumpserver）