《实验一企业安全建设》实验指导书（模板）

1、信息平安管理实验指导书（信息工程学院）实验一企业平安建设一、实验目的1、实验SSH登录的双因子验证。2、堡垒机安装。3、堡垒机的使用。二、实验环境OTP 服务器 centos 7. 5SSH 服务器 centos7. 5SSH客户端任意版本考前须知1、centos7设置时区sudo timedatectl set-timezone Asia/Shanghai 2centos? NTP服务器同步sudo timedatectl set-ntp yes3、关闭 selinuxsudo setenforce 0三、实验内容及实验步骤1、实验SSH登录的双因子验证装Google Authenticat

2、or 的依赖环境sudo yum install -y epel-releasesudo yum install -y pam-devel qrencode mercurial安装 Google Authenticatorsudo yum -y install google-authenticator(3)生成动态口令文件执行命令google-authenticator输入五个y,依次表示美丽人生序号级刺一、1、（1）、；用户的认证文件信息平安管理实验指导书（信息工程学院）测试连接ssh -p2222 adminxxx. xxx. xxx.xxx sftp -P2222 HYPERLINK m

3、ailto:adminxxx.xxx.xxx.xxx adminxxx.xxx.xxx.xxx 密 码：admin如果是用在Windows下,Xshell Terminal登录语法如下$ ssh adminxxx. xxx. xxx.xxx 2222 $ sftp adminxxx. xxx. xxx.xxx 2222 密 码：admin3、堡垒机的使用(1)准备工作登录jumpserver服务器切换root用户sudo -i进Apy3环境source /opt/py3/bin/activate启jumpsever动服务 cd /opt/jumpserver./jms start all -d

4、翻开所需的docker容器因为镜像中的容器IP地址发生改变，所以参数不正常。这里要重新创立两个 容器。dock大家注意替换下面命令中的IP地址192. 168. 0. 11docker run -name jms_koko2 -d - p 2222:2222 -p 5000:5000 eC0RE_H0ST= :/192. 168. 0. 11:57046-eB00TSTRAP_T0KEN=360College360Col-eLOG JLEVEL=ERRORjumpserver/jms_koko:1. 5. 0docker run -name jms_guacamole2 -d -p 8081:

5、8081 e JUMPSERVER_SERVER= :/192. 168. 0. 11:57046-eBOOTSTRAP TOKEN=360coHege360coi jumpserver/jms_guacamole:1. 5. 0docker start jms_guacamole检查容器是否启动docker ps -a启动nginx13信息平安管理实验指导书(信息工程学院)systemctl start nginxlnginx是否启动(实验环境中配置的是57047端口)ss-Intp | grep ”57047(2)登录Windows服务器，访问jumserver HYPERLINK :/j

6、umpserverip:57047 :/jumpserverip:57047用户名：admin 密码:360College实验环境中，已经配置了双因子验证，要配合google令牌进行登录。请同学 按照提示进行绑定。先输入密码360Collegejumpserver继续点下一步，注意红框中密钥使用手机或android模拟器扫描二维码下载APP双因素令牌点击开始输入上面的密钥，点击添加后，动态口令就可以展示出来。将动态口令输入到WEB上。即可绑定 成功。再重新登录，用户名密码不变，(admin: 360Collegel)这时会要求输入动态口令，才能进入。在实验环境是中，大家已经理解MFA多因子验证

7、。接下来，关闭其它用户的MFA 登录。(3)创立普通用户普通用户是登录jumpserver的用户。用户名360密码360coHege如图，这里 的MFA认证，即多因子验证，就像我们刚才的管理员使用手机APP生成动态口令 验证一样。(4)创立资产一管理用户管理用户是被管理服务器的root用户，可以在被管理服务器上远程执行脚本。 执行脚本依赖组件ansibleo这里为了便于区分，管理用户名、密码均为guanliyonghu(5)创立系统用户系统用户是被管理服务上，给运维人员使用的用户。可以手动创立，也可以 结合ansible推送，我们这里演示ansible推送。 系统用户是运维人员使用 的，可以将

8、密码托管到堡垒机，防止记很多密码。注意红框的标记，取消自动生成密钥用户名密码均为xitongyonghu (这个密码不用告诉运维人员)再建一个Windows下的系统用户(windows没有方法推送账号更新，必须手动 创立)我们这里选择手动登录，不托管密码14信息平安管理实验指导书（信息工程学院）（6）创立资产新建centos资产，注意IP与实验环境中一致新建Windows资产，注意IP与实验环境中一致（7）授权资产给用户（8）配置Centos服务器安装 ansible登录到环境中的centos服务器切换成root用户sudo -i 编辑文彳斗二 vim /etc/yum. repos, d/a

9、nsible加入以下内容epelname = all source for ansiblebaseurl = HYPERLINK s:/mirrors s:/mirrors. aliyun. com/epel/7/x86_64/enabled = 1gpgcheck = 0ansible_name = all source for ansiblebaseurl = HYPERLINK :/mirrors :/mirrors. aliyun. com/centos/7. 3. 1611/os/x86 64/enabled = 1gpgcheck = 0ansibleyum install ans

10、ible -y创立管理用户useradd guanliyonghuguanliyonghu 密码为 guanliyonghupasswd guanliyonghu给guanliyonghu 添加root 权限vim /etc/passwd修改用户和组ID为0,保存退出。15信息平安管理实验指导书(信息工程学院)(8) xitongyonghu给centos 服务器建立 xitongyonghu 点击 xitongyonghu推送用户，将会以guardiyonghu登录centos,仓犍xitongyonghu(9)测试配置使用windows登录，堡垒机，可以用火狐新开一个隐私窗口，同时登录管理

11、员和 普通用户。 HYPERLINK :/192.168 :/192.168. 0. 11:57047用户名360密码360CoHege如果是访问命令提示行，也可以使用ssh 9服务器2222端口。四、实验报告要求1、根据实验指导书和实验过程撰写实验报告，并对实验过程和结果进行分析和总结。2、实验报告内容和数据真实，实验结果分析详细。16美丽人生序号级刺一、1、（1）、信息平安管理实验指导书（信息工程学院）17信息平安管理实验指导书（信息工程学院）18信息平安管理实验指导书(信息工程学院)是否允许重复使用口令设置允许的令牌误差时间，为4分钟置口令错误三次，防止暴力破解生成完文件后，会在当前用户

12、的home路径下，生成一个隐藏 的. google_authenticator 文件，如下cat / google_authenticatorChailengeResponseAuthentication yesUsePAM yes #默认配置(5)修改PAM配置文件sudo vi /etc/pam. d/sshd在第一行加入B4FUKKLCFZVV67QW2HVCZ3IJ34 RATE_LIMIT 3 30 WINDOW_SIZE 17 DISALLOW_REUSE TOTP_AUTII57879096 21581415 35639171 71429302 73061664(4)修改SSH配

13、置文件 sudo vi /etc/ssh/sshd_config辑SSH配置文件，确保以下三行PasswordAuthentication yes导到手机APP里面的密钥错误尝试次数令牌误差重复使用基于时间TOTP五个紧急口令编#默认配置#需要改authrequired pam_google_authenticator. so验证pam google authenticator. so文件是否存在，查找路径 sudo find / -name pam_google_authenticator. so信息平安管理实验指导书(信息工程学院)应该在/usr/lib64/security/pam_go

14、ogle_authenticator. so(6)重JBSSH服务sudo systemctl restart sshd(7)配置XSHELL登录新建连接，或修改现有连接依次点击属性一 连接一 用户身份验证一 方法，将方法修改为Keyboard Interactive连接登录。(8)手机安装APP安装APK后，导入/. google_authenticator文件的第一行内容。本实验中是，步骤三的B4FUKKLCFZVV67QW2HVCZ3LJ34APK在平台课程附件中有(9)登录测试SSH登录，先输入手机动态口令，再输入服务器登录密码如有其它问题，可以查询日志诊断2、堡垒机安装(1)安装所需

15、软件切换root权限sudo -i安装依赖包yum -y install wget gcc epel-release git安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery brokeyum -y install redissystemctl enable redissystemctl start redis安装MySQL,如果不使用Mysql可以跳过相关Mysql安装和配置，支持sqlite3, mysql, postgres 等信息平安管理实验指导书（信息工程学院）yum -y install mariadb mariadb-devel mari

16、adb-server mariadb-shared # centos7下叫 mariadb,用法与 mysql 一致systemctl enable mariadbsystemctl start mariadb(2)创立数据库Jumpserver并授权其中数据库用户名为jumpserver 360College为数据库密码mysql -uroot -e create database jumpserver default charset utf8,; grant all on jumpserver. * to jumpserver，127. 0. 0. 1 identified by J 36

17、0CollegeJ ; flush privileges;(3)安装Nginx,用作代理服务器整合Jumpserver与各个组件编辑文件vi /etc/yum. repos, d/nginx. repo加入以下内容nginxname=nginx repobaseurl= HYPERLINK :/nginx :/nginx. org/packages/centos/7/$basearch/gpgcheck=0enabled=l安装并设置开机启动nginxyum -y install nginxsystemctl enable nginx安装 Python3.6yum -y install pyt

18、hon36 python36-devel配置并载入Python3虚拟环境cd /optpython3. 6 -m venv py3 # py3为虚拟环境名称，可自定义source /opt/py3/bin/activate # 退出虚拟环境可以使用 deactivate 命信息平安管理实验指导书(信息工程学院)看到下面的提示符代表成功，以后运行Jumpserver都要先运行以上source 命令，载入环境后默认以下所有命令均在该虚拟环境中运行(py3) rootlocalhost py3下载 Jumpservercd /opt/git clone 一一depth=l HYPERLINK s:/

19、github s:/github. com/jumpserver/jumpserver.git安装依赖RPM包yum -y install $ (cat /opt/jumpserver/requirements/rpni_requirenients. txt)安装Python库依赖pip install -upgrade pip setuptoolspip install -r /opt/jumpserver/requirements/requirements. txt修改Jumpserver配置文件cd /opt/jumpservercp config_example. yml config

20、. ymlvi config, yml注意以下配置项，注意：后面需要加空格加密秘钥生产环境中请修改为随机字符串，请勿外泄，PS:纯数字不可以SECRET_KEY:预共享Token koko和guacamole用来注册服务账号，不在使用原来的注册接受机 制B00TSTRAP_T0KEN:DEBUG模式开启DEBUG后遇到错误时可以看到更多日志DEBUG: false日志级别L0G_LEVEL: ERRORLOG DIR:信息平安管理实验指导书(信息工程学院)浏览器Session过期时间，默认24小时，也可以设置浏览器关闭那么过期 SESSI0N_C00KIE_AGE: 86400SESSION_

21、EXPIRE_AT_BROWSER_CLOSE: trueDatabase setting, Support sqlite3, mysql, postgres .数据库设置MySQL or postgres setting like:使用Mysql作为数据库DB_ENGINE: mysqlDB_H0ST: 127.0. 0. 1DB PORT: 3306DBJUSER: jumpserverDB_PASSWORD:#这里设置前面生成的随机密码，或者大家自己修改的密码DBNAME: jumpserver运行时绑定端口 _BIND_HOST: 0.0. 0. 0 _LISTEN_PORT: 808

22、0Redis配置REDIS_HOST: 127. 0. 0. 1REDIS_PORT: 6379运行 Jumpserver cd /opt/jumpserver./jms start all -d # 后台运行使用 -d 参数./jms start all -d这时可以通过WEB访诃到JUMPSERVER,但还有一些环境是没有安装。需要继续安装。 (4)安装 docker 部署 koko 与 guacamole信息平安管理实验指导书（信息工程学院）yum install -y yum-utils device-mapper-persistent-data lvm2yum-config-mana

23、ger-add-repo HYPERLINK :/mirrors :/mirrors. aliyun. com/docker-ce/1inux/centos/docker-ce. repoyum makecache fastrpm 一一import HYPERLINK s:/mirrors s:/mirrors. aliyun. com/docker-ce/1inux/centos/gpgyum -y install docker-ce systemctl enable dockercurl -sSL HYPERLINK s:/get s:/get. daocloud. io/daotools

24、/set_mirror. sh | sh -s HYPERLINK :/f1361db2 :/f1361db2. m. daocloud. iosystemctl restart docker配置docker网络，并启动注意替换 其中$server_ip替换为真实的服务器IP $BOOTSTRAP_TOKEN 为jumperserver配置文件中的密码docker run -name jms_koko -d -p 2222:2222 -p 5000:5000 -eCORE_HOST= : /$Server_IP: 8080 -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN

25、e LOG_LEVEL=ERROR jumpserver/jms_koko:1. 5. 0docker run-namejms_guacamole -d -p 8081:8081 -eJUMPSERVER_SERVER= :/$Server_IP:8080-eB00TSTRAP_T0KEN=$B00TSTRAP_T0KEN jumpserver/jms_guacamole:1. 5. 0安装 Web Terminal 前端：Lunawget HYPERLINK s:/demo s:/demo, jumpserver, org/download/luna/1. 5. 0/luna. tar.gz

26、tar xf luna. tar. gzchown -R root:root luna配置Nginx整合各组件rm -rf /etc/nginx/conf, d/default. confvi /etc/nginx/conf, d/jumpserver. conf创立新的配置文件vi /etc/nginx/conf d/jumpservere conf加入以下内容io信息平安管理实验指导书（信息工程学院）server listen 80;c 1 ient_max_body_size 100m; #录像及文件上传大小限制location /luna/ try_files $uri / /inde

27、x, html;alias /opt/luna/; # luna路径，如果修改安装目录，此处需要修改)location /media/ add_header Content-Encoding gzip;root /opt/jumpserver/data/; #录像位置，如果修改安装目录，此处 需要修改)location /static/ root /opt/jumpserver/data/; #静态资源，如果修改安装目录，此处 需要修改)location /socket, io/ proxy_pass HYPERLINK :/localhost:5000/socket :/localhost:5000/socket, io/;proxy_buffering off;proxy version 1. 1; proxy_set_headerUpgrade $ _upgrade; proxy_set_headerConnection “upgrade”;proxy_set_header X-Real-IP $remote_addr;proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x