OneTerm开源堡垒机实战（二）：快速部署与基本使用

前言

在上一期文章中，我们全面介绍了 OneTerm 及其核心特性。本篇将通过实际操作，带你快速完成从部署到基本使用的全过程，助你高效上手。

OneTerm 是维易开源矩阵中的一款 Web 端堡垒机系统，通过 Go + Vue 技术栈开发，基于 4A 理念（认证 Authen、授权 Authorize、账号 Account、审计 Audit）设计。其核心价值在于对 IT 运维操作的全流程管控与审计，帮助企业提升内部管理能力与安全合规水平。

这是《OneTerm 开源堡垒机实战》系列的第二篇 —— 快速上手与基本使用。

Github: https://github.com/veops/oneterm
在线体验: https://term.veops.cn/oneterm/workstation

👉 如果体验之后觉得不错，欢迎点一个 Star ⭐️，Star 就是对我们最大的支持！

快速部署

OneTerm 支持 Docker 一键构建，几分钟即可启动。

方式一：快速部署（默认密码）

git clone https://github.com/veops/oneterm.git
cd oneterm/deploy
docker compose up -d

方式二：安全部署（自定义密码）

生产环境建议使用安装脚本配置安全密码：

git clone https://github.com/veops/oneterm.git
cd oneterm/deploy
./setup.sh
docker compose up -d

安装脚本将会：

• 生成安全的随机密码或允许你设置自定义密码
• 使用你的密码更新所有配置文件
• 为安全起见创建备份文件

访问方式

• 浏览器访问: http://127.0.0.1:8666
• 账号: admin
• 密码: 123456（默认）或使用 setup.sh 时设置的自定义密码

开发环境

如需深入了解源码或二次开发，可搭建本地开发环境：

# 克隆代码库
git clone https://github.com/veops/oneterm.git
cd oneterm/deploy# 前端开发（实时编辑）
./dev-start.sh frontend# 后端开发（实时编辑）  
./dev-start.sh backend

更多细节（环境搭建、故障排除、开发流程）请参考文档：

• 开发环境搭建指南

基本使用流程

OneTerm 支持市面上主流协议（SSH、RDP、VNC、数据库、Web 等）, 我们以最常用的 SSH 连接为例，演示完整的使用流程, 掌握了 SSH 的操作方式后，其他协议的使用方法也大同小异。常用流程分为四步：

1. 创建账号：账号是连接资产的基础凭证，需先配置。
2. 创建资产：录入需管理的服务器、数据库等资产信息，并与账号关联。
3. 使用资产：推荐在工作台页面操作，工作台提供了众多辅助功能来简化交互和操作。
4. 审计追踪：所有操作和行为都会在审计中心完整记录，便于追溯。

创建账号

创建账号统一都是在 [资源管控 - 帐号管理] 页面, 在这个页面管理员可以管理平台内的所有资产账号, 支持新增、编辑、删除及授权。

点击右上角“创建”按钮, 即可打开创建账号弹窗, 支持密码和密钥两种配置方式

创建资产

创建账号后, 即可在 [资源管控 - 资产管理] 页面创建资产, 并与账号关联。资产管理页面与帐号管理页面功能类似, 都是管理资源, 只是一个管理的是账号, 一个管理的是资产

首先第一步是创建资产树, 资产树就是页面左侧的目录树结构

• 资产树通过目录结构对资产进行分类管理，便于组织和查找, 你可根据实际需求自由设计和调整资产目录结构
• 点击目录节点右侧的操作菜单，即可对当前目录进行新建子目录、编辑、删除、授权等操作

示例目录结构：├── 生产环境│   ├── Web服务器│   └── 数据库├── 测试环境└── 开发环境

创建目录后，选择目录并点击右上角“创建”按钮打开创建弹窗, 创建表单每个参数的作用你可以查看后面系列文章的讲解也可以直接查看 官方文档, 目前是了解核心使用流程, 所以配置以下最主要的参数即可:

• 名称: 资产别名, 便于后续管理和查找
• 地址: 服务器的IP地址
• 目录: 资产所属目录位置
• 协议: 资产登录协议类型, 因为我们是 SSH 协议, 所以默认即可
• 账号授权:
  • 账号: 选择第一步创建的账号
  • 授权角色: 选择当前账号想要授权给哪个角色, 我们选择 admin, 即当前登录的管理员账号
  • 操作权限: 勾选连接, 这个是基本的连接登录权限

配置好后点击底部确定按钮即创建成功

使用资产

资产创建成功后即可开始使用, 有三种使用方式:

1. 工作台页面使用(推荐)
2. 客户端终端使用
3. 临时链接分享使用

工作台

工作台页面也是 OneTerm 的主操作页面, 我们在此保留了许多辅助功能帮助你简化操作, 工作台页面分为三个区:

1. 左侧资产树: 展示当前用户可访问的资产目录, 底部区域实时显示当前已连接的资产数和会话数，方便用户查看资源使用情况。
2. 中间主操作区: 用于资产登录、会话管理及操作控制, 以 Tab 标签页形式分为我的资产和当前已连接的资产。
3. 右侧功能操作栏: 在不同 Tab 页下提供了多种不同的辅助功能, 提升操作效率。

你可以点击某个资产并点击右侧的登录按钮发起连接

终端登录展示

以 SSH 为例, 终端登录成功后展示如下

远程桌面登录展示

以 RDP 为例, 远程桌面登录成功后展示如下

客户端终端使用

OneTerm 支持用户使用自己熟悉的终端连接工具(xshell、mobaxterm等)，通过ssh登录到客户端, 登录密码与登录OneTerm网页端的密码一致(配置免密登录可参考 文档)，登录成功后如下图所示：

临时连接分享使用

临时连接功能支持管理员为用户分配临时访问权限，确保用户仅在必要时获得访问，降低安全风险。

在资产列表中，管理员可通过操作栏为指定资产创建临时连接。

如上图所示，先勾选账号，然后选择有效期（临时连接的生效时间，超过时间后自动撤销权限）以及选择访问次数后，点击【确定】，即可成功创建临时连接，并跳转到【临时链接列表】，点击列表右侧的复制按钮即可复制临时访问链接：

审计中心

审计中心保留了你在 OneTerm 平台上的所有操作记录, 主要分为两大类, 会话审计和日志审计

• 会话审计:

  • 在线会话: 在线会话可以查看所有当前正在使用 OneTerm 登录资产的会话，支持实时监控和直接中断会话操作
  • 历史会话: 历史会话展示了所有通过 OneTerm 登录资产的会话，支持在线回放操作录像、下载录像文件、查看命令记录等操作

• 日志审计

  • 登录日志: 登录日志记录了所有用户在 OneTerm 平台的用户登录日志，包括网页端和客户端的登录详情信息，在此页面可以查看用户登录类型、登录地址、登录浏览器、登录状态和描述、登录时间和登出时间等信息
  • 操作日志: 操作日志用于追溯在平台上对资源的操作详情，可以查看操作的用户、操作类型、资源类型以及操作前属性的值和操作后属性的值等信息
  • 文件日志: 文件日志记录了所有用户在 OneTerm 平台文件管理模块的上传下载操作

结尾

OneTerm 不仅仅是一款堡垒机产品，更是一个现代化的企业安全运维平台。它将复杂的安全管控需求转化为简单易用的操作体验，真正做到了安全与效率的完美平衡。

本篇介绍了快速上手与基本使用, 接下来我会更详细介绍 OneTerm 的高级配置技巧与扩展功能。如果你对企业安全运维感兴趣，或者正在寻找一款优秀的开源堡垒机解决方案，请持续关注我们的更新！

如果你有任何问题和建议，无论是功能上的，还是文档、交互体验方面的，欢迎随时提出来，或者直接联系我！让我们一起把这个项目做大做强！