# 堡垒机jumpserver使用手册

#### 非必要，不要开放端口

先上一张图。

[![try_password.png](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/XSpFnI5nge7Q0Fnt-try-password.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/XSpFnI5nge7Q0Fnt-try-password.png)


如图所示，网络上上有无数的人，使用工具扫描，探测默认密码、穷举简单密码。服务器一旦被攻击，轻则中木马挖矿，重则删库丢失数据，造成经济损失。

**重要的事情说三遍，非必要，不要开放端口，不要映射端口。**

**重要的事情说三遍，非必要，不要开放端口，不要映射端口。**

**重要的事情说三遍，非必要，不要开放端口，不要映射端口。**

**默认情况下，防火墙仅应该开放80,443端口，其他端口一定要思考是否有开放的必要性**


考虑到实际维护，需要进行各种调试，应该使用堡垒机进行维护，本文为自建堡垒机**jumpserver**使用手册，堡垒机安装管理请参看其他文章

- jumpserver安装手册
- jumpserver管理手册
- jumpserver使用手册



#### 使用



 - 登录

登录地址: [https://jumpserver.devops.vppark.cn/](https://jumpserver.devops.vppark.cn/)

如果你还没有用户名，请联系管理员索取用户名密码



- 切换视图

如果你有多重身份角色，可以切换不同的视图使用不同的功能

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/1vv4W3f9aCx6abcH-image-1691390507701.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/1vv4W3f9aCx6abcH-image-1691390507701.png)


- 我的资产

可以使用的服务器、数据库等，如果列表没有出现你需要维护的服务器，请联系系统管理员进行授权

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/1pI176DNuuR0hS4p-image-1691390838758.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/1pI176DNuuR0hS4p-image-1691390838758.png)


- 远程登录

远程登录有两个入口，分别为左的web终端、右上角的图标

  [![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/80lwUCADd95XBuhH-image-1691390923630.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/80lwUCADd95XBuhH-image-1691390923630.png)



- 选择你需要进行连接的的资产，连接方式

左边为资产列表，右边为远程面板。点击对应的资产可以弹出连接窗口，默认使用web cli方式。

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/EyOWiVAeHaePRODU-image-1691391899792.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/EyOWiVAeHaePRODU-image-1691391899792.png)


如果觉得右边的远程面板太小了，不方便，可以在资产上右键，在新窗口打开。


某些时候需要使用客户端连接、提高效率时，可以选择客户端连接方式。复制相关信息到你的客户端工具，既可以进行连接。

  [![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/DllJsrSM6xhj2TE6-image-1691392272052.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/DllJsrSM6xhj2TE6-image-1691392272052.png)



- 安装客户端插件


[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/wyPu9jLDgDPMMTSG-image-1691392642723.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/wyPu9jLDgDPMMTSG-image-1691392642723.png)

如果想使用使用客户端连接，需要安装插件

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/0AozWPjQy4QzuQfj-image-1691392761988.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/0AozWPjQy4QzuQfj-image-1691392761988.png)

下载对应的操作系统软件版本，进行安装

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/SG2mtJVEB5piulOA-image-1691392780837.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/SG2mtJVEB5piulOA-image-1691392780837.png)

**注意，安装过程非常快，一闪而过，且在桌面不会留下任何图标，安装成功与否，可以参看控制面板内已经安装程序是否出现**

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/XYIvAgCzyvMUoLTU-image-1691392879663.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/XYIvAgCzyvMUoLTU-image-1691392879663.png)


- 远程桌面

由于windows无法容器化，使用了ubuntu xface 容器化作为远程桌面。


中文输入法支持，启动fctix

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/iFpS6yaks7a1xEBB-image-1691393887715.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/iFpS6yaks7a1xEBB-image-1691393887715.png)

点击键盘图标，如果无法切换到中文输入法，则需要增加中文输入法

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/xiZ2rOzNlB8KEhNv-image-1691393952182.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/xiZ2rOzNlB8KEhNv-image-1691393952182.png)

添加google pinyin输入法

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/IhdJzz4IRAy1JjsR-image-1691394165582.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/IhdJzz4IRAy1JjsR-image-1691394165582.png)

双击桌面的 **navicat16** 图标，使用navicat 提高效率，如果桌面没有navicat图标，可以使用如下命令创建，或者打开终端，直接输入 **navicat16**,最新版本navicat已经支持连接redis，mongo，可以直接使用


```
# 打开终端，运行
ln -sf /usr/local/bin/navicat16 /home/ubuntu/Desktop/navicat16
```

[![](http://qq829.cn/book/uploads/images/gallery/2023-08/scaled-1680-/kvOjyGJkIHOOncgJ-image-1691399985267.png)](http://qq829.cn/book/uploads/images/gallery/2023-08/kvOjyGJkIHOOncgJ-image-1691399985267.png)





- sudo 密码，如果部分命令提示没有权限，需要sudo,请咨询管理员索要 sudo 密码

- 连接到k8s集群内的mysql或redis， 资产名称带有**out-k8s**的，与主机网络一致，资产名称带有**in-k8s**的，与k8s网络一致，连接字符串填写服务发现既可