开源堡垒机 JumpServer 社区版实战教程：一步步构建企业安全运维环境一、访问JumpServer 1.1 登录 1.2 功能模块 1.3 系统设置 1.3.1 基本设置 1.3.2 邮件设置二、用户管理 2.1 场景 2.2 创建用户 2.3 用户登录密码重置三、资产管理 3.1 准备工作 3.2 登录控制台 3.3 创建资产树 3.4 创建节点 3.5 创建资产 3.5.1 系统用户 3.5.2 创建Linux资产 3.5.3 创建Windows资产 3.5.4 创建数据库资产四、创建授权规则 4.1 创建Linux资产授权规则 4.2 创建Windows资产授权规则 4.3 创建PostgreSQL数据库资产授权规则五、资产登录使用 5.1 网页登录 5.1.1 Linux资产登录 5.1.2 Windows资产登录 5.1.3 PostgreSQL数据库资产登录 5.2 SSH工具登录 5.2.1 设置SSH登录 5.2.2 Linux资产登录 5.2.3 PostgreSQL数据库资产登录六、审计台 6.1 历史会话 6.2 录像回放七、账户登录MFA加密（建议设置） 7.1 配置MFA加密 7.2 管理员MFA登录测试 7.3 全局启用MFA加密 7.4 普通用户第一次登录MFA配置 7.5 普通用户MFA登录测试

开源堡垒机 JumpServer 社区版实战教程：一步步构建企业安全运维环境

本文来讲如何访问 JumpServer 及配置和使用方法。

一、访问JumpServer

1.1 登录

安装成功后，通过浏览器访问登录 JumpServer。

地址: http:// : :<服务运行端口>，用户名: admin 密码: 你修改的密码。

进入 JumpServer。

1.2 功能模块

控制分为三大功能模块，控制台、审计台、工作台。

1.3 系统设置

点击页面右上角的 系统设置 进行配置。

1.3.1 基本设置

1.3.2 邮件设置

支持通过 SMTP 或 EXCHANGE 方式来对接邮件配置。

不可以同时勾选 使用 SSL 和 使用 TLS 。

必须要输入主题前缀，设置之后邮件的标题收到的邮件是 JumpServer 开头。

邮箱测试连接

如图，点击测试连接

收到邮件

二、用户管理

2.1 场景

用户 superman，针对服务器192.168.1.132/192.168.1.186和192.168.1.132上的 PostgreSQL 数据库进行运维。

2.2 创建用户

点击页面左侧的 用户管理 - 用户列表 - 创建 。

添加员工账户 superman ，系统角色用户即可。

2.3 用户登录密码重置

用户创建之后会收到一封邮件，要求修改用户密码。

密码修改之后会收到一封邮件，类似如下：

三、资产管理

3.1 准备工作

准备两个服务器资产和一个数据库资产来验证功能。

IP地址	主机名	端口	操作系统	管理员账户	管理员密码	备注
192.168.1.132	postgresql	22	Ubuntu 22.04.1	root		Linux
192.168.1.186	win10	3389	Windows 10	administrator		Windows
192.168.1.132	postgresql	5432	Ubuntu 22.04.1	postgres		数据库

现在需要添加服务器192.168.1.132/192.168.1.186和192.168.1.132上的 PostgreSQL 数据库到 JumpServer 的资产管理上。

3.2 登录控制台

3.3 创建资产树

点击页面左侧的 资产管理 - 资产列表 。

注意： 根节点 Default 不能重命名，右击节点可以 添加 、 删除 和 重命名 节点，以及进行资产相关的操作。

3.4 创建节点

在根节点 Default 右键可以新建 SSH Server 、 RDP Server 、 Database 、 Web Server 等节点。

3.5 创建资产

3.5.1 系统用户

系统用户选项，有普通用户和特权用户，有些人分不清楚。

这两个用户，都是给jumpserver这个软件使用的，jumpserver用这两个用户连接到其他服务器。

特权用户：最高权限，如 root 或拥有 NOPASSWD: ALL sudo 权限的用户，只允许jumpserver使用，JumpServer 使用该用户来 推送系统用户 、 获取资产硬件信息 等，系统也有提示。远程服务器上存在的用户信息。

普通用户：可以在服务器预先存在的用户，也可以由 特权用户 来自动创建。是superman登录服务器时用的用户名。也可以直接是特权用户root等，看权限分配。

创建特权用户，给jumpserver软件连接用，这里用的ubuntu，登录方式密钥，上传密钥即可。

普通用户，可创建也可以不创建，如直接使用特权用户ubuntu即可。如果创建后（如：user01），jumpserver会在远程服务器上通过ubuntu这个特权用户自动创建这个用户(如：user01)。

3.5.2 创建Linux资产

点击页面左侧的 资产管理 - 资产列表 - 主机 - 创建 。

创建一台 Linux 服务器，并在创建资产过程中，创建特权用户，内容就是上面表单的 管理员用户 和 密码 。

注意：

名称 不能重名， 密码 或者 密钥 二选一即可，一些资产不允许通过 密码 认证可以改用 私钥 认证。
特权用户 仅支持 SSH 协议，用于资产 可连接性测试 、 推送用户 、 批量改密 等自动化任务。
资产创建信息填写好保存之后隔几秒钟时间刷新一下网页， ssh 协议资产的可连接图标会显示 绿色 ，且 硬件信息 会显示出来。
如果 可连接 的图标是 黄色 或者 红色 ，可以点击 资产 的 名称 ，在右侧 快速修改 - 测试可连接性 点击 测试 按钮，根据错误提示处理。
被连接 Linux 资产需要 python 组件，且版本大于等于 2.6 ， Ubuntu 等资产默认不允许 root 用户远程 ssh 登录，请自行处理， Windows 资产需要手动安装 OpenSSH Server 。
如果资产不能正常连接，请检查特权用户的 用户名 和 密码 是否正确以及该 特权用户 是否能使用 SSH 从 JumpServer 主机正确登录到资产主机上。

3.5.3 创建Windows资产

点击页面左侧的 资产管理 - 资产列表 - 主机 - 创建 。

创建一台 Windows 服务器，并在创建资产过程中，创建特权用户，内容就是上面表单的 管理员用户 和 密码 。

注意：

Windows RDP 资产要求
- 部分安装了安全软件的资产无法正常连接。
- 创建资产的 "资产平台" 默认情况下使用 Windows 即可。
Windows SSH 资产要求
- 安装好 Openssh 后，在 Web 的资产列表里面找到您的 Windows 资产，在协议组中加入 rdp 3389和 ssh 22协议，然后就可以使用资产测试连接、硬件信息获取、用户自动推送的功能。
- Win7/Win2008 需要升级 powershell 到 3.0 以上

账户密码没错的话，添加完成后，可以看到连接性是 成功 。

3.5.4 创建数据库资产

点击页面左侧的 资产管理 - 资产列表 - 数据库 - 创建 ，选择 PostgreSQL 数据库。

账户密码没错的话，添加完成后，可以看到连接性是 成功 。

配置之后，点击测试，看是否能连通。

出现一下信息表示连通成功。

点击资产列表名称查看资产详情。

四、创建授权规则

针对用户 superman 进行授权，并允许员工 superman 登录相关服务器和数据库。

注意：

名称 ，授权的名称，不能重复。
用户 和 用户组 二选一，不推荐即选择 用户 又选择 用户组 。
资产 和 节点 二选一，选择 节点 会包含 节点 下面的所有 资产 。
账号 ， 账号 为连接资产的 认证凭据 。
用户(组) ， 资产(节点) 是一对一的关系，所以当拥有 Linux 、 Windows 不同类型资产时，应该分别给 Linux 资产和 Windows 资产创建 授权规则 。