概述
本文主要介绍 JumpServer 如何纳管 Linux 资产,登录资产时可能会遇到的常见问题以及 Linux 资产如何进行文件的上传下载。
Linux 资产纳管
Linux 资产纳管的前提:
- 资产必须开启openssh-server服务
- 防火墙ssh端口必须开放给JumpServer所有服务器访问
- 需要检查/etc/hosts.allow、/etc/hosts.deny、/etc/ssh/sshd_config是否有登录限制
1、编译资产树(非必须)
点击进入 “资产管理” → “资产列表”。创建资产树,可以根据协议或者使用的职能部门不同进行区分。
此例以协议进行区分。
2、创建特权用户
点击进入 “资产管理” → “系统用户”。可以选择创建特权用户和系统用户。
特权用户是资产已存在的, 并且拥有较大权限的系统用户,(例如:root 用户或者 sudoer 用户)JumpServer 使用该用户来 `推送系统用户`、`获取资产硬件信息` 等;
系统用户是 JumpServer 登录资产时使用的账号,如 root `ssh root@host`,而不是使用该用户名登录资产(ssh admin@host)`;
此例我们首先创建特权用户。
填写相关信息。
提交即可成功创建特权用户。
3、创建资产
点击进入 “资产管理” → “资产列表”。点击刚刚创建的资产树。
提交完成资产创建。
4、创建授权规则
点击进入 “权限管理” → "资产授权"。点击资产树。
5、访问
5.1、Web 界面访问
5.1.1、WEB CLI 方式访问
访问 Web 终端即可访问。
连接成功!
5.1.2、SSH Client 方式访问
选择 SSH Client 方式(使用该方式前需注意是否安装了 JumpServer 客户端)
注:JumpServer 客户端可能会被杀毒软件禁掉,需要注意是否关闭杀毒软件或者在杀毒软件中放行 JumpServer 客户端,
该方式是拉起 JumpServer 客户端,JumpServer 客户端中内置了 putty。即可连接资产。
5.2、SSH 界面访问
5.2.1、SSH 登录堡垒机后连接资产
使用 admin 账号登录堡垒机。
登录成功。
显示资产信息。
5.2.2、SSH 直接连接资产
admin:该用户是登陆 JumpServer 的用户
root:该用户是登录 Linux 资产的用户
101.42.230.131:该 IP 为纳管资产的 IP
10.1.12.182:该 IP 为 JumpServer 的访问地址
Linux 资产登录时常见的错误
问题一:连接超时(timed out)
该情况一般为网络问题,请联系管理员检查堡垒机到该资产的端口是否能通。
同时请检查 /etc/ssh/sshd_config 的 USEDNS 项是否为 no
问题二:认证错误(Authentication failed)
该情况一般为密码输入错误,请检查密码是否输入正确。
2.14 版本提示。
2.22 版本提示。
问题三:读取 SSH 协议出错(Error reading SSH protocol banner)
该情况一般为密码多次输入错误,请检查密码之后重新尝试输入。(2.14版本)
问题四:unable to authenticate, attempted methods [none], no supported methods remain
检查 /etc/ssh/sshd_config 文件的 PasswordAuthentication 是不是 yes ,检查系统用户的密码是否正确。
Linux 资产的文件上传下载
此处请注意:如果是自行输入密码的资产,需要先连接资产后,再进入文件管理。
登录成功后,右击资产进入文件管理。
访问资产 /tmp 目录:
注:如果仅有一个系统用户或者仅有一个高优先级的用户,连接之后的初始界面即为 /tmp 目录。即可进行上传下载操作。
如果同时拥有多个系统用户,选择已登入用户的相应目录(例如使用 root 用户登入,则选择 root 文件夹),即可使用该系统用户访问到目标资产的 /tmp 目录。(/tmp 为默认的文件夹,如果需要修改,可以在创建系统用户时,对 SFTP 根目录进行调整。)
文件下载,下载的文件需要先拷贝到 tmp 文件下才可以进行下载。
文件上传:鼠标右击页面空白处,点击上传文件,或将文件拖入页面,完成文件上传功能
文件管理报错
Can not connect asset sftp server: No authentication methods available
若该报错是在主页面的文件管理中,请参考 xxx 使用 Web 终端进行文件管理,该页面文件管理,只针对 Linux 资产,并只支持由管理员配置好的自动登入的系统用户访问,目前集团内用户都为手动登入用户。
若该报错是在 Web 终端的文件管理中,如果点击文件管理前没有先登入服务器,请先登入再点击文件管理;如果已经登入,请点击刚刚登入所用的系统用户目录,进入到 /tmp 目录。请参考 xxx 使用 Web 终端进行文件管理。
Permission denied
该报错出现的原因可能有两个:
目前上传的文件在 /tmp 目录下有更高的权限从属
例如:drwxr-xr-x root:root abc.txt ,如果此时客户上传同名文件时使用的系统用户低于 root:root,则报错 permission denied。
解决:移走同名文件,再次上传。目标磁盘爆满,也会出现该报错。
环境变量被修改。
如下图所示:访问 sftp 时,报错 Permission denied。检查发现 /dev/null 有链接指向,且权限为 777。
解决:降低 /dev/null 权限