2018/07 作者:ihunter 0 次 0
http://docs.jumpserver.org/zh/docs/index.html
Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统。实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。
Jumpserver使用Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。
Jumpserver采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发限制。
组件说明
Guacamole
Apache 跳板机项目,Jumpserver 使用其组件实现 RDP 功能,Jumpserver 并没有修改其代码而是添加了额外的插件,支持 Jumpserver 调用。
Jumpserver-Python-SDK
Jumpserver API Python SDK,Coco 目前使用该 SDK 与 Jumpserver API 交互。
混合云下更好用的堡垒机
1. 分布式架构设计无限扩展,轻松对接混合云资产;
2. 支持使用云存储(AWS S3, ES等)存储录像、命令;
颠覆传统堡垒机
1. 无主机和并发数量限制,支持水平扩容;
2. FIT2CLOUD提供完备的商业服务支持,用户无后顾之忧;
极致的用户体验
1. 极致UI体验,完胜传统堡垒机;
2. 容器化的部署方式,部署过程方便快捷,可持续升级;
用户/用户组
用户是授权和登录的主体,用户组方便组织授权, 负责添加修改删除用户,把用户划分不同的用户组,方便将来授权主机.
资产/资产树
负责管理各类资产,采纳资产数方便组织和授权.
授权规则
使用资产树授权,当节点资产变化时,自动继承授权. 授权管理模块,以资产树方式授权资产,效率高
dashboard
会话记录/命令记录
实时监控在线用户操作,支持录像回放,可中断用户不良操作, 日志审计模块,统计用户操作记录
混合云部署
一个中心节点,各区域部署接入节点,统一管理
Web terminal
领先的Web Terminal方案,支持Windows
环境
系统: CentOS 7
IP: 192.168.244.144
关闭 selinux 和防火墙
# CentOS 7 setenforce 0 # 可以设置配置文件永久关闭 systemctl stop iptables.service systemctl stop firewalld.service 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文 localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8 export LC_ALL=zh_CN.UTF-8 echo 'LANG=zh_CN.UTF-8' > /etc/locale.con
一. 准备 Python3 和 Python 虚拟环境
1.1 安装依赖包
yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
Yum 加速设置请参考
1.2 编译安装
wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz tar xvf Python-3.6.1.tar.xz && cd Python-3.6.1 ./configure && make && make install 这里必须执行编译安装,否则在安装 Python 库依赖时会有麻烦...
1.3 建立 Python 虚拟环境
因为 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境
cd /opt python3 -m venv py3 source /opt/py3/bin/activate 看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行 (py3) [root@localhost py3]
二. 安装 Jumpserver 1.0.0
2.1 下载或 Clone 项目
项目提交较多 git clone 时较大,你可以选择去 Github 项目页面直接下载zip包。
cd /opt/ git clone --depth=1 https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master
2.2 安装依赖 RPM 包
$ cd /opt/jumpserver/requirements $ yum -y install $(cat rpm_requirements.txt) # 如果没有任何报错请继续
2.3 安装 Python 库依赖
pip install -r requirements.txt # 不要指定-i参数,因为镜像上可能没有最新的包,如果没有任何报错请继续
Pip 加速设置请参考
2.4 安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke
yum -y install redis systemctl start redis
2.5 安装 MySQL
本教程使用 Mysql 作为数据库,如果不使用 Mysql 可以跳过相关 Mysql 安装和配置
#centos7 yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb systemctl enable mariadb systemctl start mariadb
2.6 创建数据库 Jumpserver 并授权
mysql > create database jumpserver default charset 'utf8'; > grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';
2.7 修改 Jumpserver 配置文件
cd /opt/jumpserver cp config_example.py config.py vi config.py
# 我们计划修改 DevelopmentConfig 中的配置,因为默认 Jumpserver 使用该配置,它继承自 Config
注意: 配置文件是 Python 格式,不要用 TAB,而要用空格
class DevelopmentConfig(Config): DEBUG = True DB_ENGINE = 'mysql' DB_HOST = '127.0.0.1' DB_PORT = 3306 DB_USER = 'jumpserver' DB_PASSWORD = 'somepassword' DB_NAME = 'jumpserver' ... config = DevelopmentConfig() # 确保使用的是刚才设置的配置文件
2.8 生成数据库表结构和初始化数据
cd /opt/jumpserver/utils bash make_migrations.sh
2.9 运行 Jumpserver
cd /opt/jumpserver ./jms start all # 后台运行使用 -d 参数./jms start all -d # 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all 后台运行请添加 -d 参数
运行不报错,请浏览器访问 http://192.168.244.144:8080/
页面显示不正常先不用处理,需要搭建 nginx 代理就可以正常访问了
附上重启的方法
./jms restart
三. 安装 SSH Server 和 WebSocket Server: Coco
3.1 下载或 Clone 项目
新开一个终端,连接测试机,别忘了 source /opt/py3/bin/activate
cd /opt source /opt/py3/bin/activate git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
3.2 安装依赖
cd /opt/coco/requirements yum -y install $(cat rpm_requirements.txt) pip install -r requirements.txt
3.3 查看配置文件并运行
cd /opt/coco cp conf_example.py conf.py # 如果 coco 与 jumpserver 分开部署,请手动修改 conf.py ./cocod start # 后台运行使用 -d 参数./cocod start -d
后面设置好 nginx 后,记得去 Jumpserver 管理后台-会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受 Coco 的注册
Coco version 1.0.0, more see https://www.jumpserver.org Starting ssh server at 0.0.0.0:2222 Quit the server with CONTROL-C.
3.4 测试连接
ssh -p2222 admin@192.168.244.144 密码: admin 如果是用在 Windows 下,Xshell Terminal 登录语法如下 ssh admin@192.168.244.144 2222 密码: admin 如果能登陆代表部署成功
四. 安装 Web Terminal 前端: Luna
Luna 已改为纯前端,需要 Nginx 来运行访问
访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不需要编译
4.1 解压 Luna
pwd /opt/ wget https://github.com/jumpserver/luna/releases/download/v1.0.0/luna.tar.gz tar xvf luna.tar.gz ls /opt/luna ...
五. 安装 Windows 支持组件(如果不需要管理 windows 资产,可以直接跳过这一步)
因为手动安装 guacamole 组件比较复杂,这里提供打包好的 docker 使用, 启动 guacamole
5.1 Docker安装 (仅针对CentOS7,CentOS6安装Docker相对比较复杂)
yum remove docker-latest-logrotate docker-logrotate docker-selinux dockdocker-engine yum install docker-ce yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum-config-manager --enable docker-ce-edge yum-config-manager --enable docker-ce-test yum-config-manager --disable docker-ce-edge yum install docker-ce systemctl start docker systemctl status docker
5.2 启动 Guacamole
这里所需要注意的是 guacamole 暴露出来的端口是 8081,若与主机上其他端口冲突请自定义
修改 JUMPSERVER_SERVER 环境变量的配置,填上 Jumpserver 的内网地址, 启动成功后去 Jumpserver 会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受[Gua]开头的一个注册
# 注意:这里一定要改写一下本机的IP地址, 否则会出错, 带宽有限, 下载时间可能有点长,可以喝杯咖啡,撩撩对面的妹子 docker run --name jms_guacamole -d \ -p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \ -e JUMPSERVER_KEY_DIR=/config/guacamole/key \ -e JUMPSERVER_SERVER=http://<填写本机的IP地址>:8080 \ registry.jumpserver.org/public/guacamole:1.0.0
六. 配置 Nginx 整合各组件
6.1 安装 Nginx 根据喜好选择安装方式和版本
yum -y install nginx
6.2 准备配置文件 修改 /etc/nginx/conf.d/jumpserver.conf
内容如下:
vi /etc/nginx/nginx.conf
... 省略
# 把默认server配置块改成这样
server {
listen 80;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}
location /static/ {
root /opt/jumpserver/data/;
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/; # 如果coco安装在别的服务器,请填写它的ip
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /guacamole/ {
proxy_pass http://localhost:8081/; # 如果guacamole安装在别的服务器,请填写它的ip
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
access_log off;
}
location / {
proxy_pass http://localhost:8080; # 如果jumpserver安装在别的服务器,请填写它的ip
}
}
... 省略6.3 运行 Nginx
nginx -t # 确保配置没有问题, 有问题请先解决
# CentOS 7 $ systemctl start nginx $ systemctl enable nginx
6.4 访问 http://192.168.244.144
默认账号: admin 密码: admin
到管理后台-会话管理-终端管理 接受 Coco Guacamole 等应用的注册
