一、简介
1、测试环境由一台服务端对两台客户端进行权限控制。
2、服务端ssh端口为51612,客户端端口为54213。
3、用户组创建三个级别,分别为运维组、工作组、只读组
4、命令别名设置三个级别,分别为ROOT、WORK、RD
5、jumpserver默认管理用户必须使用root,但考虑到安全,创建jieyue进行管理。
6、设置客户端均不能使用root进行远程登录。
二、安装jumpserver3.0
安装步骤请查看我的上一篇博客,这里就不介绍了。
三、设置默认管理用户
1、必须在服务端、客户端上创建jieyue账户,并设置密码
useradd jieyue
echo “123456” | passwd –stdin jieyue
2、设置jieyue使用sudo免密
#执行以下命令,会打开一个文件
visudo
#添加以下语句
jieyue ALL=(ALL) NOPASSWD: ALL
#保存生效。
3、登录jumpserver修改‘默认管理用户’
四、创建用户信息
1、登陆
2、创建用户组 ‘运维组’
3、创建用户‘yunwei1’ 同时指定‘姓名’
请填写申请人的邮箱,创建成功后会把相关信息发到指定邮箱。
五、创建资产信息
1、创建主机
点击添加使主机生效
2、添加主机组 ‘WORK’
六、授权管理信息
1、设置‘sudo’命令,根据需求要创建三个‘命令别名’,‘ROOT、WORK、RD’
设置ROOT权限
设置WORK权限
/bin/whoami, /etc/init.d/ , /bin/cat,/bin/vi,/usr/bin/vim,/bin/ls,/bin/cp, /usr/bin/svn,/usr/bin/git,/bin/rpm,/bin/chgrp,/bin/tar,/usr/bin/scp,/usr/bin/rz, /usr/bin/sz,/bin/ps,/usr/bin/free,/bin/df,/usr/bin/du,/bin/ping,/bin/mv,/bin/kill, /usr/bin/killall,/bin/mount,/bin/umount,/bin/ln,/usr/bin/tail,/bin/find, /sbin/ifconfig,/sbin/route,/sbin/iptables,/bin/netstat,/bin/touch,/usr/bin/zip,/usr/bin/id,/bin/env,/usr/bin/sudo,/usr/sbin/lsof,/bin/mkdir,/usr/bin/pwdx,/usr/bin/systemctl
设置RD权限
2、添加系统用户: ‘yunwei’‘work’ ‘rd’
设置yunwei
设置work
设置rd
把系统用户推送到指定主机
成功
3、添加授权规则,日后新添加的用户直接在这里修改即可。
添加三个不同的规则,方便管理。
添加root规则
添加work规则
添加rd规则
七、客户端连接。
1、下载key
2、打开xshell,新建一个会话
连接成功
使用不同的权限可新增一个用户,再把用户添加到授权规则定义的用户组中。