摘要：五測(cè)試驗(yàn)證在前面的配置步驟操作完畢后，便可以進(jìn)行一些常規(guī)功能驗(yàn)證，以此來(lái)加深對(duì)系統(tǒng)的了解，這些功能測(cè)試點(diǎn)有資產(chǎn)連接測(cè)試用戶(hù)授權(quán)終端在線會(huì)話命令記錄等功能。

筆者最近想起此前公司使用過(guò)的堡壘機(jī)系統(tǒng)，覺(jué)得用的很方便，而現(xiàn)在的公司并沒(méi)有搭建此類(lèi)系統(tǒng)，想著以后說(shuō)不定可以用上；而且最近也有點(diǎn)時(shí)間，因此來(lái)了搭建堡壘機(jī)系統(tǒng)的興趣，在搭建過(guò)程中參考了比較多的文檔，其中最詳細(xì)的還是官方文檔，地址如下所示：

Jumpserver 文檔

1. 系統(tǒng)運(yùn)行
2. 配置入門(mén)
3. 測(cè)試驗(yàn)證

在官方文檔中安裝堡壘機(jī)有很多種方法，這讓筆者有些糾結(jié)，另外而且在不同系統(tǒng)中安裝方法也不一致，不過(guò)正在徘徊不定時(shí)，發(fā)現(xiàn)一種通用的安裝方法，便是采用docker進(jìn)行安裝，因此本文中筆者將以docker安裝為例

在docker官方鏡像庫(kù)當(dāng)中并沒(méi)有收錄jumpserver，因此下載鏡像命令如下所示：

docker pull registry.jumpserver.org/public/jumpserver:1.0.0

下載過(guò)程可能比較慢，筆者大約花費(fèi)了14分鐘才將其下載完成，下載完成后結(jié)果如下所示

1.0.0: Pulling from public/jumpserver
af4b0a2388c6: Pull complete
aa66a3d10fd2: Pull complete
1d4c6a27f2ac: Pull complete
2490267572de: Pull complete
b00f1599768d: Pull complete
398fc903cdc3: Pull complete
f8490bbfc09a: Pull complete
86d238b365f5: Pull complete
2cd3b1ef59b2: Pull complete
4a21434eeb73: Pull complete
ae8cf3e909e0: Pull complete
7c440776471a: Pull complete
0a5e895f91af: Pull complete
b86672241685: Pull complete
af16a4945f95: Pull complete
0374e723cd6c: Pull complete
e18b86849df9: Pull complete
648aa832cb74: Pull complete
b52364a5c704: Pull complete
Digest: sha256:0f26e439c492ac52cbc1926aa950a59730607c947c79557ab3da51bfc2c7b5d4
Status: Downloaded newer image for registry.jumpserver.org/public/jumpserver:1.0.0

下載之后筆者需要將下載下來(lái)的容器運(yùn)行起來(lái)，為了防止80端口被宿主機(jī)其他進(jìn)程所占用，因此將容器端口映射到宿主機(jī)的8011上，運(yùn)行命令如下所示：

docker run --name jms_server -d -p 8011:80 -p 2222:2222 registry.jumpserver.org/public/jumpserver:1.0.0

在參數(shù)當(dāng)中因?yàn)橛屑尤牒笈_(tái)運(yùn)行參數(shù)-d，容器運(yùn)行之后終端不會(huì)進(jìn)入容器bash中，而且當(dāng)命令執(zhí)行成功之后，docker將會(huì)返回容器ID，如果返回信息則可能出現(xiàn)了異常錯(cuò)誤，正常返回結(jié)果如下所示

4709a7d85af28bf05a63fb3e42541a41c30edda6668fd54a446cfab006c35b9e

容器運(yùn)行之后，筆者需要對(duì)其進(jìn)行檢測(cè)確保運(yùn)行成功，檢查方式有兩個(gè)，首先觀察容器是否正常運(yùn)行，然后是檢查堡壘機(jī)是否能被瀏覽器所訪問(wèn)

首先通過(guò)如下命令可以查看當(dāng)前正在運(yùn)行的容器

docker ps

如果容器正常運(yùn)行將會(huì)出現(xiàn)剛在筆者所運(yùn)行的堡壘機(jī)容器ID，正常返回結(jié)果參考如下

CONTAINER ID        IMAGE                                             COMMAND               CREATED             STATUS              PORTS                                                   NAMES
4709a7d85af2        registry.jumpserver.org/public/jumpserver:1.0.0   "/opt/start_jms.sh"   8 minutes ago       Up 8 minutes        443/tcp, 0.0.0.0:2222->2222/tcp, 0.0.0.0:8011->80/tcp   jms_server

在返回結(jié)果當(dāng)中可以看到之前docker返回的容器ID正處于運(yùn)行狀態(tài)，便可以確定容器運(yùn)行正常，接著筆者還需要通過(guò)瀏覽器來(lái)檢測(cè)是否運(yùn)行成功，使用瀏覽器打開(kāi)如下地址

http://127.0.0.1:8011/

當(dāng)瀏覽器出現(xiàn)如下界面時(shí)，則基本代表成功

在確定系統(tǒng)正常運(yùn)行之后，接下來(lái)就可以對(duì)系統(tǒng)進(jìn)行一些配置，堡壘機(jī)配置比較簡(jiǎn)單，下面的配置是將是使用堡壘機(jī)最為基礎(chǔ)的一些配置，配置主要是添加一些資產(chǎn)進(jìn)行管理，這便需要添加管理用戶(hù)、系統(tǒng)普通用戶(hù)、賬戶(hù)授權(quán)等操作。

在前面的檢驗(yàn)運(yùn)行的截圖當(dāng)中可以看到需要登錄，而賬號(hào)和密碼筆者并沒(méi)有在官方文檔中所看到，筆者隨手一嘗試，發(fā)現(xiàn)用戶(hù)名和密碼分別是admin與admin，如下圖所示

登錄成功之后，進(jìn)入系統(tǒng)看到的界面如下圖所示

接下來(lái)筆者需要添加一些資產(chǎn)，添加資產(chǎn)的前提條件是有一個(gè)管理用戶(hù)，這個(gè)管理用戶(hù)是資產(chǎn)的最高權(quán)限賬戶(hù)，堡壘機(jī)之后會(huì)使用此賬戶(hù)來(lái)登錄并管理資產(chǎn)，和獲取一些統(tǒng)計(jì)信息，筆者在資產(chǎn)管理->管理用戶(hù)列表中點(diǎn)擊創(chuàng)建系統(tǒng)用戶(hù)按鈕，便來(lái)到了創(chuàng)建管理用戶(hù)的頁(yè)面，如下圖所示

在表單中可以看見(jiàn)必須填寫(xiě)用戶(hù)名，和認(rèn)證所用的密碼或私鑰，按照真實(shí)情況去填寫(xiě)，比如筆者的資產(chǎn)最高權(quán)限賬戶(hù)是song，密碼123456Ab,那么就如實(shí)填寫(xiě)上去。

在添加管理用戶(hù)之后，便可以添加資產(chǎn)了，添加資產(chǎn)也非常的簡(jiǎn)單，在資產(chǎn)列表點(diǎn)擊創(chuàng)建資產(chǎn)按鈕，便來(lái)到了添加資產(chǎn)的頁(yè)面，如下圖所示

添加資產(chǎn)需要填寫(xiě)，資產(chǎn)的IP地址，以及ssh的端口號(hào)，以及選擇資產(chǎn)的操作系統(tǒng)類(lèi)型，并且選擇用哪一個(gè)管理用戶(hù)

在資產(chǎn)管理下還有一個(gè)系統(tǒng)用戶(hù)管理，這個(gè)系統(tǒng)用戶(hù)的使用場(chǎng)景是，有時(shí)候需要在很多個(gè)目標(biāo)資產(chǎn)中創(chuàng)建一個(gè)普通賬戶(hù)，這時(shí)候肯定是十分麻煩；此時(shí)便可以通過(guò)堡壘機(jī)上的系統(tǒng)用戶(hù)管理來(lái)創(chuàng)建一個(gè)系統(tǒng)用戶(hù)；然后下發(fā)到目標(biāo)資產(chǎn)中，這樣一來(lái)就不需要去目標(biāo)主機(jī)一個(gè)個(gè)登錄然后去創(chuàng)建，因此非常方便，添加系統(tǒng)用戶(hù)如下圖所示

創(chuàng)建系統(tǒng)用戶(hù)需輸入需要?jiǎng)?chuàng)建的賬號(hào)，以及選擇認(rèn)證的方式，默認(rèn)為秘鑰方式，也可以將選擇框選中去掉，通過(guò)密碼來(lái)認(rèn)證。

在前面的配置步驟操作完畢后，便可以進(jìn)行一些常規(guī)功能驗(yàn)證，以此來(lái)加深對(duì)jumpserver系統(tǒng)的了解，這些功能測(cè)試點(diǎn)有 資產(chǎn)連接測(cè)試、用戶(hù)授權(quán)、Web終端、在線會(huì)話、命令記錄等功能。

連接測(cè)試的目的是檢查資產(chǎn)是否可以被堡壘機(jī)所訪問(wèn)，可以在資產(chǎn)列表點(diǎn)擊資產(chǎn)名稱(chēng)，便可以進(jìn)入資產(chǎn)詳情頁(yè)面，右側(cè)有兩個(gè)按鈕，點(diǎn)擊刷新按鈕，正確配置的參考效果如下圖所示

如果能看到左側(cè)的硬件信息發(fā)生了變更，就代表此前配置的管理用戶(hù)沒(méi)有問(wèn)題，否則會(huì)彈出錯(cuò)誤提示框；

當(dāng)配置資產(chǎn)后，如果想在堡壘機(jī)中直接連接終端就還需要給用戶(hù)授權(quán)，授權(quán)分為兩個(gè)步驟，第一步是給web終端賬戶(hù)授權(quán)，在會(huì)話管理->終端管理,如下圖所示

第二步則是給用戶(hù)自己本身授權(quán)，在授權(quán)管理->資產(chǎn)權(quán)限->創(chuàng)建權(quán)限規(guī)則中做好相應(yīng)配置，如下圖所示

當(dāng)給用戶(hù)授權(quán)之后，用戶(hù)便可以會(huì)話管理->Web終端中與系統(tǒng)進(jìn)行交互，如下圖所示

有些時(shí)候想看誰(shuí)在操作服務(wù)器，可以很輕松的通過(guò)在線會(huì)話功能來(lái)查看當(dāng)前有哪些用戶(hù)在操作終端，在會(huì)話管理->在線會(huì)話列表中進(jìn)行查看，如下圖所示

筆者覺(jué)得堡壘機(jī)最大的作用之一便是審計(jì)，如果想知道某個(gè)用戶(hù)在系統(tǒng)中執(zhí)行了那些命令，可以很方便的在會(huì)話管理->命令記錄中進(jìn)行查看，如下圖所示

如果對(duì)筆者的實(shí)戰(zhàn)文章較為感興趣，可以關(guān)注筆者新書(shū)《PHP Web安全開(kāi)發(fā)實(shí)戰(zhàn)》，現(xiàn)已在各大平臺(tái)上架銷(xiāo)售，封面如下圖所示

作者：湯青松

微信：songboy8888

日期：2018-10-30