容器（22）--Docker下jumpserver跳板机 堡垒机详细部署

关于跳板机/堡垒机的介绍：

跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器，然后再登录到目标设备进行维护和 *** 作

跳板机使用场景

查看状态

访问测试

登入web界面，初始密码账号均为admin

登录jumpserver服务web端进行虚拟机管理 *** 作

1）登录admin管理界面

创建一个develop组

3)创建一个用户curry，将curry添加到develop组里面，角色为普通用户，然后提交

4）点击更新，给curry用户添加登录密码

填写curry用户密码然后提交

5)用curry账号登录

进入curry用户界面

6)创建一个管理用户（用来管理资产虚拟主机，此用户必须要有资产虚拟主机的root身份，其中的密码为ssh登录虚拟主机的密码）

7）创建资产(指的是被管理的虚拟主机)

填入虚拟主机名、ip地址及管理用户

点击主机名，进入资产详情页面

点击测试，检测被管理的虚拟主机是否能ping通，如下结果表明测试成功

8）创建一个过滤器

9）创建一个系统用户（此用户名在登录虚拟主机后会被自动创建，为虚拟主机登录的默认普通用户，非管理员用户，权限比较小）

10）创建授权规则，将资产添加到develop组中，是的此组中的用户可以访问此资产虚拟主机

11）登录curry用户界面，点击web终端

可以看到被授权的终端虚拟机，点击虚拟终端即可在命令窗口 *** 作终端

12）再设置过滤器

点击规则

设置命令过滤禁止规则

13）此时再一次登录curry页面登录虚拟主机时，执行这些命令将会被禁止，如下所示

14）回到admin的web端，在会话管理下的历史会话可以打开录像回放列表，记录虚拟主机的所有 *** 作过程的录像

15）录像回放

16）再创建一个资产

17)在资产授权中将此资产也添加到develop组中

18）登录curry界面并打开web终端可以看到 *** 作两台虚拟主机

。

严格控制设备访问权限，采用分权管理，可以使用设备本身的账号分权创建。

最好所有的运维配置调试都通过堡垒机进行，通过限定受管设备的可信/可管理的IP地址配置为堡垒机IP地址杜绝私自登录设备。通过堡垒机的日志和录像可以溯源。

堡垒机的作用

堡垒机的作用（一）访问控制

运维人员合法访问 *** 作时，堡垒机可以很好的解决 *** 作资源的问题。通过对访问资源的严格控制，堡垒机可以确保运维人员在其账号有效权限、期限内合法访问 *** 作资源，降低 *** 作风险，以实现安全监管目的，保障运维 *** 作人员的安全、合法合规、可控制性。

堡垒机的作用（一）访问控制

堡垒机的作用（二）账号管理

当运维人员在使用堡垒机时，无论是使用云主机还是局域网的主机，都可以同步导入堡垒机进行账号集中管理与密码的批量修改，并可一键批量设置SSH秘钥对。

堡垒机的作用（二）账号管理

堡垒机的作用（三）资源授权

堡垒机可以支持云主机、局域网主机等多种形式的主机资源授权，并且堡垒机采用基于角色的访问控制模型，能够对用户、资源、功能作用进行细致化的授权管理，解决人员众多、权限交叉、资产繁琐、各类权限复制等众多运维人员遇到的运维难题。

堡垒机的作用（三）资源授权

堡垒机的作用（四）指令审核

堡垒机具有安全审计功能，主要对审计运维人员的账号使用情况，包括登录、资源访问、资源使用等。针对敏感指令，堡垒机可以对非法 *** 作进行阻断响应或触发审核的 *** 作情况，审核未通过的敏感指令，堡垒机将进行拦截。

堡垒机的作用（四）指令审核

堡垒机的作用（五）审计录像

堡垒机除了可以提供安全层面外，还可以利用堡垒机的事前权限授权、事中敏感指令拦截外，以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维 *** 作均会以日志的形式记录，管理者即通过日志对微云人员的 *** 作进行安全审计录像。

堡垒机的作用（五）审计录像

堡垒机的作用（六）身份认证

堡垒机可以为运维人员提供不同强度的认证方式，既可以保持原有的静态口令方式，还可以提供微信、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理，还能为运维人员提供统一一致的认证门户，实现企业的信息资源访问的单点登录。

堡垒机的作用（六）身份认证

堡垒机的作用（七） *** 作审计

堡垒机可以将运维人员所有 *** 作日志集中管理与分析，不仅可以对用户行为进行监控与拦截，还可以通过集中的安全审计数据进行数据挖掘，以便于运维人员对安全事故的 *** 作审计认定。

Rstudio-server可以通过Rstudio网页端来远程连接Linux服务器并 *** 作R来处理数据。

这段时间由于疫情，在家办公，时间能够自己安排；索性想将托管在学校的服务器上搭建rstudio-server，让本来就是linux命令行界面能以图形化界面的方式---Rstudio展开；经过一段时间的折腾----主要是联系学校各种老师（唯唯诺诺）以及处理各种报错，rstudio-server总算能在“服务器IP：8787”上打开并正常运行。现主要记录几点，算是这段时间的处理笔记；

这样也就不难理解：为什么在学校服务器上成功安装rstudio-server后却无法在客户端正常访问，因为服务器端的IP+8787端口无法通过堡垒机（假设堡垒机对你的服务器只开启了SSH运维设备）。

既然我们的目的是让客户端通过一个web页面（IP+端口）取访Linux服务器，但这个页面在经过堡垒机的时候被"墙"掉了，那么问题也变得比较好解决了，在堡垒机上开启这台服务器的web代理，即介于客户端和Linux服务器之间充当的一台web代理服务器，有了它之后，客户端不是直接到Linux服务器去访问（在学校有堡垒机的情况下本身不太现实），而是向代理web服务器发送请求，信号会先送到代理web服务器上，并由web代理服务器取回Linux服务器运行的结果并返回到客户端上。而在堡垒机上开启你这台服务器web代理需要学校堡垒机的超级用户，因此，这最大的难点就是跟学校老师沟通，讲清你的需求，一般情况下老师会同意的。

在成功开启web代理并如愿在Borrower上访问到Rstudio界面之后，却发现有一些包比如Seurat安装及其困难；其次无法实时可视化，无法报存为PNG格式等；MD~

至此，折腾了好几天的rstudio总算弄完，之前仅仅是因为个人PC跑不动单细胞的大数据，而萌生是否能在强悍的服务器上使用Rstudio的想法，但未想过后面真是一步一个坑，首先要明白怎么弄，然后就是不断地沟通、不断地排错。对于非计算机类科班出身的人来说，大有 “我就是为了这瓶醋而特地包了份饺子” 的感觉，但确实也学到了不少~。

参考：

Download RStudio Server - RStudio

惊艳 | RStuido server选择不同的R版本（conda中的不同R版本） - 云+社区 - 腾讯云 (tencentcom)

一、目的

通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能：

1、ssh、telnet登录网络设备的账户统一在radius进行，方便定期修改密码、账户删减；

2、通过堡垒机登录设备能控制权限、资源，并且有 *** 作记录，符合安全等报；

二、安装步骤

21 开源堡垒机Jumpserver安装

可以参考jumperserver官网安装步骤；

22、radius服务器安装

radius可以使用Windows的NPS（Network Policy Server ）或者是freeradius。

本次使用Windows server 2008安装NPS

23 交换机配置

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa domain enable    ------>开启域名功能

Ruijie(config)#radius-server host  XXXX------>配置radius IP

Ruijie(config)#radius-server key RADIUS      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login radius group radius local  ------>设置登入方法认证列表为ruijie，先用radius组认证，如果radius无法响应，将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication radius    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie  ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie        ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密，这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后，需要等待1小时才能再次尝试登入系统

注：锐捷交换机3760设备型号较老旧，使用ip domain-lookup

    22 ssh配置

    1）开启交换机的web服务功能

      Ruijie#configure terminal

      Ruijie(config)#enable service ssh-server

   2) 生成加密密钥：

      Ruijie(config)#crypto key generate dsa            ------>加密方式有两种：DSA和RSA,可以随意选择

      Choose the size of the key modulus in the range of 360 to 2048 for your

      Signature Keys Choosing a key modulus greater than 512 may take

      a few minutes

      How many bits in the modulus [512]:  1024               ------>输入1024直接敲回车

      % Generating 512 bit DSA keys [ok]

注：Jumpserver管理网络设备建议使用ssh方式，同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024

以上就是关于容器（22）--Docker下jumpserver跳板机 /堡垒机详细部署全部的内容，包括:容器（22）--Docker下jumpserver跳板机 /堡垒机详细部署、运维里面怎么让员工的 *** 作可以追溯、堡垒机作用等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！