搭建jumpserver堡垒机

环境

系统: CentOS 7

IP: 192.168.244.144

关闭 selinux 和防火墙

# CentOS 7

$ setenforce 0  # 可以设置配置文件永久关闭

$ systemctl stop iptables.service

$ systemctl stop firewalld.service

# 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文

$ localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8

$ export LC_ALL=zh_CN.UTF-8

$ echo ‘LANG=zh_CN.UTF-8‘ > /etc/locale.conf

# CentOS6

$ setenforce 0

$ service iptables stop

# 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文

$ localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8

$ export LC_ALL=zh_CN.UTF-8

$ echo ‘LANG=zh_CN.UTF-8‘ > /etc/sysconfig/i18n

一. 准备 Python3 和 Python 虚拟环境

1.1 安装依赖包

$ yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

Yum 加速设置请参考 <http://mirrors.163.com/.help/centos.html>

1.2 编译安装

$ wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz

$ tar xvf Python-3.6.1.tar.xz  && cd Python-3.6.1

$ ./configure && make && make install

# 这里必须执行编译安装,否则在安装 Python 库依赖时会有麻烦...

1.3 建立 Python 虚拟环境

因为 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境

$ cd /opt

$ python3 -m venv py3

$ source /opt/py3/bin/activate

# 看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行

(py3) [[email protected] py3]

二. 安装 Jumpserver 1.0.0

2.1 下载或 Clone 项目

项目提交较多 git clone 时较大,你可以选择去 Github 项目页面直接下载zip包。

$ cd /opt/

$ git clone --depth=1 https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master

2.2 安装依赖 RPM 包

$ cd /opt/jumpserver/requirements

$ yum -y install $(cat rpm_requirements.txt)  # 如果没有任何报错请继续

2.3 安装 Python 库依赖

$ pip install -r requirements.txt  # 不要指定-i参数,因为镜像上可能没有最新的包,如果没有任何报错请继续

Pip 加速设置请参考 <https://segmentfault.com/a/1190000011875306>

2.4 安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke

$ yum -y install redis

$ systemctl start redis

# centos6

$ service redis start

2.5 安装 MySQL

本教程使用 Mysql 作为数据库,如果不使用 Mysql 可以跳过相关 Mysql 安装和配置

# centos7

$ yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb

$ systemctl enable mariadb

$ systemctl start mariadb

# centos6

$ yum -y install mysql mysql-devel mysql-server

$ chkconfig mysqld on

$ service mysqld start

2.6 创建数据库 Jumpserver 并授权

$ mysql

> create database jumpserver default charset ‘utf8‘;

> grant all on jumpserver.* to ‘jumpserver‘@‘127.0.0.1‘ identified by ‘somepassword‘;

2.7 修改 Jumpserver 配置文件

$ cd /opt/jumpserver

$ cp config_example.py config.py

$ vi config.py

# 我们计划修改 DevelopmentConfig 中的配置,因为默认 Jumpserver 使用该配置,它继承自 Config

注意: 配置文件是 Python 格式,不要用 TAB,而要用空格

class DevelopmentConfig(Config):

DEBUG = True

DB_ENGINE = ‘mysql‘

DB_HOST = ‘127.0.0.1‘

DB_PORT = 3306

DB_USER = ‘jumpserver‘

DB_PASSWORD = ‘somepassword‘

DB_NAME = ‘jumpserver‘

...

config = DevelopmentConfig()  # 确保使用的是刚才设置的配置文件

2.8 生成数据库表结构和初始化数据

$ cd /opt/jumpserver/utils

$ bash make_migrations.sh

2.9 运行 Jumpserver

$ cd /opt/jumpserver

$ ./jms start all  # 后台运行使用 -d 参数./jms start all -d

# 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all  后台运行请添加 -d 参数

运行不报错,请浏览器访问 http://192.168.244.144:8080/ 页面显示不正常先不用处理,需要搭建 nginx 代理就可以正常访问了

附上重启的方法

$ ./jms restart

三. 安装 SSH Server 和 WebSocket Server: Coco

3.1 下载或 Clone 项目

新开一个终端,连接测试机,别忘了 source /opt/py3/bin/activate

$ cd /opt

$ source /opt/py3/bin/activate

$ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master

3.2 安装依赖

$ cd /opt/coco/requirements

$ yum -y  install $(cat rpm_requirements.txt)

$ pip install -r requirements.txt

3.3 查看配置文件并运行

$ cd /opt/coco

$ cp conf_example.py conf.py  # 如果 coco 与 jumpserver 分开部署,请手动修改 conf.py

$ ./cocod start  # 后台运行使用 -d 参数./cocod start -d

# 新版本更新了运行脚本,使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数

后面设置好 nginx 后,记得去 Jumpserver 管理后台-会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受 Coco 的注册

Coco version 1.0.0, more see https://www.jumpserver.org

Starting ssh server at 0.0.0.0:2222

Quit the server with CONTROL-C.

3.4 测试连接

$ ssh -p2222 [email protected]

密码: admin

如果是用在 Windows 下,Xshell Terminal 登录语法如下

$ssh [email protected] 2222

密码: admin

如果能登陆代表部署成功

四. 安装 Web Terminal 前端: Luna

Luna 已改为纯前端,需要 Nginx 来运行访问

访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不需要编译

4.1 解压 Luna

$ pwd

/opt/

$ wget https://github.com/jumpserver/luna/releases/download/v1.0.0/luna.tar.gz

$ tar xvf luna.tar.gz

$ ls /opt/luna

...

五. 安装 Windows 支持组件(如果不需要管理 windows 资产,可以直接跳过这一步)

因为手动安装 guacamole 组件比较复杂,这里提供打包好的 docker 使用, 启动 guacamole

5.1 Docker安装 (仅针对CentOS7,CentOS6安装Docker相对比较复杂)

$ yum remove docker-latest-logrotate  docker-logrotate  docker-selinux dockdocker-engine

$ yum install docker-ce

$ yum install -y yum-utils   device-mapper-persistent-data   lvm2

$ yum-config-manager     --add-repo     https://download.docker.com/linux/centos/docker-ce.repo

$ yum-config-manager --enable docker-ce-edge

$ yum-config-manager --enable docker-ce-test

$ yum-config-manager --disable docker-ce-edge

$ yum install docker-ce

$ systemctl start docker

$ systemctl status docker

5.2 启动 Guacamole

这里所需要注意的是 guacamole 暴露出来的端口是 8081,若与主机上其他端口冲突请自定义

修改 JUMPSERVER_SERVER 环境变量的配置,填上 Jumpserver 的内网地址, 启动成功后去 Jumpserver 会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受[Gua]开头的一个注册

# 注意:这里一定要改写一下本机的IP地址, 否则会出错, 带宽有限, 下载时间可能有点长,可以喝杯咖啡,撩撩对面的妹子

$ docker run --name jms_guacamole -d \

-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \

-e JUMPSERVER_KEY_DIR=/config/guacamole/key \

-e JUMPSERVER_SERVER=http://<填写本机的IP地址>:8080 \

registry.jumpserver.org/public/guacamole:1.0.0

六. 配置 Nginx 整合各组件

6.1 安装 Nginx 根据喜好选择安装方式和版本

$ yum -y install nginx

6.2 准备配置文件 修改 /etc/nginx/conf.d/jumpserver.conf

内容如下:

$ vim /etc/nginx/nginx.conf

... 省略

# 把默认server配置块改成这样

server {

listen 80;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

location /luna/ {

try_files $uri / /index.html;

alias /opt/luna/;

}

location /media/ {

add_header Content-Encoding gzip;

root /opt/jumpserver/data/;

}

location /static/ {

root /opt/jumpserver/data/;

}

location /socket.io/ {

proxy_pass       http://localhost:5000/socket.io/;  # 如果coco安装在别的服务器,请填写它的ip

proxy_buffering off;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "upgrade";

}

location /guacamole/ {

proxy_pass       http://localhost:8081/;  # 如果guacamole安装在别的服务器,请填写它的ip

proxy_buffering off;

proxy_http_version 1.1;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection $http_connection;

access_log off;

}

location / {

proxy_pass http://localhost:8080;  # 如果jumpserver安装在别的服务器,请填写它的ip

}

}

... 省略

6.3 运行 Nginx

nginx -t   # 确保配置没有问题, 有问题请先解决

# CentOS 7

$ systemctl start nginx

$ systemctl enable nginx

# CentOS 6

$ service nginx start

$ chkconfig nginx on

6.4 访问 http://192.168.244.144

默认账号: admin 密码: admin

到管理后台-会话管理-终端管理 接受 Coco Guacamole 等应用的注册

原文地址:https://www.cnblogs.com/Hydraxx/p/8686673.html

时间: 2024-07-30 23:19:11

搭建jumpserver堡垒机的相关文章

基于Docker搭建Jumpserver堡垒机操作实践

一.背景 笔者最近想起此前公司使用过的堡垒机系统,觉得用的很方便,而现在的公司并没有搭建此类系统,想着以后说不定可以用上:而且最近也有点时间,因此来了搭建堡垒机系统的兴趣,在搭建过程中参考了比较多的文档,其中最详细的还是官方文档,地址如下所示: Jumpserver 文档 二.操作概要 1. 系统运行 2. 配置入门 3. 测试验证 三.系统运行 在官方文档中安装堡垒机有很多种方法,这让笔者有些纠结,另外而且在不同系统中安装方法也不一致,不过正在徘徊不定时,发现一种通用的安装方法,便是采用doc

如何搭建jumpserver堡垒机?

一.准备环境$ firewall-cmd --zone=public --add-port=80/tcp --permanent # nginx 端口$ firewall-cmd --zone=public --add-port=2222/tcp --permanent # 用户SSH登录端口 coco $ firewall-cmd --reload # 重新载入规则 $ setenforce 0$ sed -i "s/enforcing/disabled/g" /etc/selinu

jumpserver 堡垒机环境搭建(图文详解)

Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能.基于ssh协议来管理,客户端无需安装agent. 特点: 完全开源,GPL授权 Python编写,容易再次开发 实现了跳板机基本功能,认证.授权.审计 集成了Ansible,批量命令等 支持WebTerminal Bootstrap编写,界面美观 自动收集硬件信息 录像回放 命令搜索 实时监控 批量上传下载 jumpserver 3.0 安装 相对于 jumpserver 2.0 版本,在新的版本

让运维不再背锅的利器jumpserver堡垒机

由于来源身份不明.越权操作.密码泄露.数据被窃.违规操作等因素 都可能会使运营的业务系统面临严重威胁,一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅. 几种常见的背黑锅场景 1.由于不明身份利用远程运维通道攻击服务器造成业务系统出现异常 但是运维人员无法明确攻击来源,那么领导很生气.后果很严重 2.只有张三能管理的服务器,被李四登录过并且做了违规操作 但是没有证据是李四登录的,那么张三只能背黑锅了. 3.运维人员不小心泄露了服务器的密码.一旦发生安全事故,那么后果不堪设想. 4.

jumpserver 堡垒机

来源:知乎 Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能.基于ssh协议来管理,客户端无需安装agent. 特点: 完全开源,GPL授权 Python编写,容易再次开发 实现了跳板机基本功能,认证.授权.审计 集成了Ansible,批量命令等 支持WebTerminal Bootstrap编写,界面美观 自动收集硬件信息 录像回放 命令搜索 实时监控 批量上传下载 jumpserver 3.0 安装 相对于 jumpserver 2.0 版本,

搭建简易堡垒机

笔记内容:搭建简易堡垒机笔记日期:2018-01-18 23.1 什么是堡垒机 23.2 搭建简易堡垒机 23.3 安装jailkit实现chroot 23.4 日志审计 23.1 什么是堡垒机 堡垒机,是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态.安全事件.网络活动,以便集中报警.及时处理及审计定责. 我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能是远程登录服务器和日志审计.运维

搭建开源堡垒机的5个常见理解误区

当企业选择搭建开源堡垒机时,便拥有初始投入少.使用灵活等特点.但是搭建开源堡垒机并不是真的完全免费并且安全可靠的.小编发现,用户在对搭建开源堡垒机的理解上,存在以下5个常见的误区,一起来看看. 误区一:开源堡垒机完全免费吗? 其实开源堡垒机只有最基本的功能或者部分使用配额是免费的,一旦涉及到企业更深层次的安全需求,就需要向开源堡垒机厂商支付额外的费用,以获得更高的使用配额和完整的堡垒机功能. 误区二:开源堡垒机安全吗? 开源堡垒机也意味着存在开放带来的安全威胁与潜在漏洞,就像Dedecms,不是

jumpserver堡垒机的搭建

堡垒机方便和简化了管理员对多个用户和多台服务器之间的联系 jumpserver是一个开源的软件 1 首先在jumpsrever官网下载 选择 VIEW PROJECT ON GITHUB 这个按钮 选择master 这个分支 一个软件压缩包 下载时要下载master这个分支  再解压  期间会下载依赖包 请耐心等待 这个对python的版本有要求 不符合就卸载 重新安装 unzip jumpserver-master.zip cd jumpserver-master/install ./inst

jumpserver堡垒机搭建

安装的文字在百度上有很多,个人建议还是参考官网的比较靠谱.下面主要说一下个人搭建所遇到过的坑和后面修改和使用的说明.安装文档参考:http://docs.jumpserver.org/zh/docs/installation.html主要以上面为主,参考其他的也是可以的. 1.在安装的过程中,需要掌握每一步的操作是什么意思.在后面的排错中很有帮助的.2.遇到问题学会找关键字或查看错误日志.然后找百度或google.基本都能解决.3.在搭建或安装的前提,建议使用虚拟机便于创建快照和系统恢复方便.4