JumpServer 安装配置

时间  2019-11-21
标签 jumpserver 安装 配置 繁體版
原文   原文链接

环境

  • 系统:Centos 7.4
  • 阿里云ECS,单独绑定弹性公网IP

  • 关闭selinux,防火墙对本机公司IP全开html

    #CentOS 7
  $ setenforce 0  # 临时关闭,重启后失效
  #修改字符集,不然可能报 input/output error的问题,由于日志里打印了中文
  $ localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
  $ export LC_ALL=zh_CN.UTF-8
  $ echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf

1.安装python3

1.1 安装依赖包

$ yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

1.2 编译安装

$ wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
$ tar xvf Python-3.6.1.tar.xz  && cd Python-3.6.1
$ ./configure --prefix=/usr/local/python-3.6.1 && make && make install

# 这里必须执行编译安装,不然在安装 Python 库依赖时会有麻烦...

1.3 建立Python虚拟环境

# 由于 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了避免扰乱原来的环境咱们来使用 Python 虚拟环境
$ cd /opt
$ /usr/local/python-3.6.1/bin/python3 -m venv py3
$ source /opt/py3/bin/activate

# 看到下面的提示符表明成功,之后运行 Jumpserver 都要先运行以上 source 命令,如下全部命令均在该虚拟环境中运行
(py3) [root@localhost py3]

2. 安装 JumpServer

2.1 下载或Clone项目

# 项目提交较多 git clone 时较大,你能够选择去 Github 项目页面直接下载zip包。
$ cd /opt/
$ git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master

2.2 安装依赖RPM包

$ cd /opt/jumpserver/requirements
$ yum -y install $(cat rpm_requirements.txt)  
# 若是没有任何报错请继续

2.3 安装python依赖

$ pip install -r requirements.txt  
# 不要指定-i参数,由于镜像上可能没有最新的包,若是没有任何报错请继续

2.4 安装 Redis (Jumpserver 使用 Redis 作 cache 和 celery broke)

$ yum -y install redis
$ systemctl enable redis
$ systemctl start redis

2.5 安装 MySQL

centos7

$ yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb
$ systemctl enable mariadb
$ systemctl start mariadb
# 进入mysql空实例初始化全部空密码
$ mysql
> update mysql.user set password=password('xxxx'); flush privileges;

2.6 建立数据库 jumpserver 并受权

$ mysql
> create database jumpserver default charset 'utf8';
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';
> flush privileges;

2.7 修改 JumpServer 配置文件

$ cd /opt/jumpserver
$ cp config_example.py config.py
$ vi config.py
# 注意对齐,不要直接复制本文档的内容,实际内容以文件为准,本文仅供参考
# 注意: 配置文件是 Python 格式,不要用 TAB,而要用空格
"""
    jumpserver.config
    ~~~~~~~~~~~~~~~~~

    Jumpserver project setting file

    :copyright: (c) 2014-2017 by Jumpserver Team
    :license: GPL v2, see LICENSE for more details.
"""
import os

BASE_DIR = os.path.dirname(os.path.abspath(__file__))


class Config:
    # Use it to encrypt or decrypt data

    # Jumpserver 使用 SECRET_KEY 进行加密,请务必修改如下设置
    # SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'
    SECRET_KEY = '请随意输入随机字符串(推荐字符大于等于 50位)'

    # Django security setting, if your disable debug model, you should setting that
    ALLOWED_HOSTS = ['*']

    # DEBUG 模式 True为开启 False为关闭,默认开启,生产环境推荐关闭
    # 注意:若是设置了DEBUG = False,访问8080端口页面会显示不正常,须要搭建 nginx 代理才能够正常访问
    DEBUG = os.environ.get("DEBUG") or False

    # 日志级别,默认为DEBUG,可调整为INFO, WARNING, ERROR, CRITICAL,默认INFO
    LOG_LEVEL = os.environ.get("LOG_LEVEL") or 'WARNING'
    LOG_DIR = os.path.join(BASE_DIR, 'logs')

    # 使用的数据库配置,支持sqlite3, mysql, postgres等,默认使用sqlite3
    # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases

    # 默认使用SQLite3,若是使用其余数据库请注释下面两行
    # DB_ENGINE = 'sqlite3'
    # DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')

    # 若是须要使用mysql或postgres,请取消下面的注释并输入正确的信息,本例使用mysql作演示(mariadb也是mysql)
    DB_ENGINE = os.environ.get("DB_ENGINE") or 'mysql'
    DB_HOST = os.environ.get("DB_HOST") or '127.0.0.1'
    DB_PORT = os.environ.get("DB_PORT") or 3306
    DB_USER = os.environ.get("DB_USER") or 'jumpserver'
    DB_PASSWORD = os.environ.get("DB_PASSWORD") or 'somepassword'
    DB_NAME = os.environ.get("DB_NAME") or 'jumpserver'

    # Django 监听的ip和端口,生产环境推荐把0.0.0.0修改为127.0.0.1,这里的意思是容许x.x.x.x访问,127.0.0.1表示仅容许自身访问
    # ./manage.py runserver 127.0.0.1:8080
    HTTP_BIND_HOST = '127.0.0.1'
    HTTP_LISTEN_PORT = 8080

    # Redis 相关设置
    REDIS_HOST = os.environ.get("REDIS_HOST") or '127.0.0.1'
    REDIS_PORT = os.environ.get("REDIS_PORT") or 6379
    REDIS_PASSWORD = os.environ.get("REDIS_PASSWORD") or ''
    REDIS_DB_CELERY = os.environ.get('REDIS_DB') or 3
    REDIS_DB_CACHE = os.environ.get('REDIS_DB') or 4

    def __init__(self):
        pass

    def __getattr__(self, item):
        return None

class DevelopmentConfig(Config):
    pass

class TestConfig(Config):
    pass

class ProductionConfig(Config):
    pass

# Default using Config settings, you can write if/else for different env
config = DevelopmentConfig()

2.8 生成数据库表结构和初始化数据

$ cd /opt/jumpserver/utils
$ bash make_migrations.sh

2.9 运行 JumpServer

$ cd /opt/jumpserver
$ ./jms start all  # 后台运行使用 -d 参数./jms start all -d
# 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all  后台运行请添加 -d 参数
# 运行不报错,请浏览器访问 http://你的IP:8080/ 默认帐号: admin 密码: admin 页面显示不正常先不用处理,跟着教程继续操做就行,后面搭建 nginx 代理就能够正常访问了

3. 安装SSH Server和WebSocket Server:Coco

3.1 下载或 Clone 项目

$ cd /opt
$ source /opt/py3/bin/activate
$ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master

3.2 安装依赖

$ cd /opt/coco/requirements
$ yum -y  install $(cat rpm_requirements.txt)
$ pip install -r requirements.txt -i https://pypi.org/simple

3.3 修改配置文件并运行

$ cd /opt/coco
$ cp conf_example.py conf.py  # 若是 coco 与 jumpserver 分开部署,请手动修改 conf.py
$ vi conf.py
# 注意对齐,不要直接复制本文档的内容
# 注意: 配置文件是 Python 格式,不要用 TAB,而要用空格
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
#

import os

BASE_DIR = os.path.dirname(__file__)


class Config:
    """
    Coco config file, coco also load config from server update setting below
    """
    # 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
    # 命名标准:coco-公司/项目名,如 coco-lkt  coco-fsl
    # NAME = "localhost"
    NAME = "coco-lkt"

    # Jumpserver项目的url, api请求注册会使用, 若是Jumpserver没有运行在127.0.0.1:8080,请修改此处
    # CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'
    CORE_HOST = 'http://127.0.0.1:8080'

    # 启动时绑定的ip, 默认 0.0.0.0
    BIND_HOST = '0.0.0.0'

    # 监听的SSH端口号, 默认2222
    SSHD_PORT = 2222

    # 监听的HTTP/WS端口号,默认5000
    HTTPD_PORT = 5000

    # 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
    # 若是有需求, 能够写到配置文件中, 格式 access_key_id:access_key_secret
    ACCESS_KEY = None

    # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
    ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')

    # 加密密钥
    SECRET_KEY = None

    # 设置日志级别 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']
    LOG_LEVEL = 'INFO'

    # 日志存放的目录
    LOG_DIR = os.path.join(BASE_DIR, 'logs')

    # Session录像存放目录
    SESSION_DIR = os.path.join(BASE_DIR, 'sessions')

    # 资产显示排序方式, ['ip', 'hostname']
    ASSET_LIST_SORT_BY = 'hostname'

    # 登陆是否支持密码认证
    PASSWORD_AUTH = True

    # 登陆是否支持秘钥认证
    PUBLIC_KEY_AUTH = True

    # 和Jumpserver 保持心跳时间间隔
    HEARTBEAT_INTERVAL = 5

    # Admin的名字,出问题会提示给用户
    # ADMINS = ''
    COMMAND_STORAGE = {
        "TYPE": "server"
    }
    REPLAY_STORAGE = {
        "TYPE": "server"
    }

config = Config()
$ ./cocod start  # 后台运行使用 -d 参数./cocod start -d
# 新版本更新了运行脚本,使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数
# 启动成功后去Jumpserver 会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受coco的注册,若是页面不正常能够等部署完成后再处理

4. 安装Web Terminal前端:Luna

# Luna 已改成纯前端,须要 Nginx 来运行访问
# 访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不须要编译
$ cd /opt
$ wget https://github.com/jumpserver/luna/releases/download/1.3.3/luna.tar.gz
$ tar xvf luna.tar.gz
$ chown -R root:root luna

5. 安装Windows支持组件

5.1 Docker安装 (仅针对CentOS7,CentOS6安装Docker相对比较复杂)

# 由于手动安装 guacamole 组件比较复杂,这里提供打包好的 docker 使用, 启动 guacamole
$ yum remove docker-latest-logrotate  docker-logrotate  docker-selinux dockdocker-engine
$ yum install -y yum-utils   device-mapper-persistent-data   lvm2

# 添加docker官方源
$ yum-config-manager     --add-repo     https://download.docker.com/linux/centos/docker-ce.repo
$ yum makecache fast
$ yum install docker-ce

# 国内部分用户可能没法链接docker官网提供的源,这里提供阿里云的镜像节点供测试使用
$ yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
$ rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg
$ yum makecache fast
$ yum -y install docker-ce

$ systemctl start docker
$ systemctl status docker

5.2 启动 Guacamole

# 这里所须要注意的是 guacamole 暴露出来的端口是 8081,若与主机上其余端口冲突请自定义
# 修改下面 docker run 里的 JUMPSERVER_SERVER 参数,必须是外网IP,填上 Jumpserver 的 url 地址, 启动成功后去 Jumpserver 会话管理-终端管理(http://jumpserver:8080/terminal/terminal/)接受[Gua]开头的一个注册,若是页面显示不正常能够等部署完成后再处理
# 注意:这里须要修改下 http://<填写jumpserver的url地址> ,地址必须是外网生效的域名或者外网IP,不然会出错, 带宽有限, 下载时间可能有点长,能够喝杯咖啡,撩撩对面的妹子
# 不能使用 127.0.0.1 ,能够更换 jumpserver/guacamole:latest
# 安装下载
$ docker run --name jms_guacamole -d \
  -p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \
  -e JUMPSERVER_KEY_DIR=/config/guacamole/key \
  -e JUMPSERVER_SERVER=http://<填写jumpserver的url地址> \
  registry.jumpserver.org/public/guacamole:latest
# Docker相关操做
$ docker ps -a  # 查看当前运行或者中止的容器
$ docker start/stop 容器ID # 启动或者中止某个容器
$ docker rm 容器ID # 删除某个容器
$ docker images # 列出镜像列表
$ docker rmi 镜像ID # 删除某个镜像

6. 配置nginx

6.1 安装nginx

yum install nginx -y

6.2 配置文件,server段

server {
    listen 80;  # 代理端口,之后将经过此端口进行访问,再也不经过8080端口

    location /luna/ {
        try_files $uri / /index.html;
        alias /opt/luna/;  # luna 路径,若是修改安装目录,此处须要修改
    }

    location /media/ {
        add_header Content-Encoding gzip;
        root /opt/jumpserver/data/;  # 录像位置,若是修改安装目录,此处须要修改
    }

    location /static/ {
        root /opt/jumpserver/data/;  # 静态资源,若是修改安装目录,此处须要修改
    }

    location /socket.io/ {
        proxy_pass       http://localhost:5000/socket.io/;  # 若是coco安装在别的服务器,请填写它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        access_log off;
    }

    location /guacamole/ {
        proxy_pass       http://localhost:8081/;  # 若是guacamole安装在别的服务器,请填写它的ip
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        access_log off;
        client_max_body_size 100m;  # Windows 文件上传大小限制
    }

    location / {
        proxy_pass http://localhost:8080;  # 若是jumpserver安装在别的服务器,请填写它的ip
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

6.3 运行 nginx

$ nginx -t   # 确保配置没有问题, 有问题请先解决
# CentOS 7
$ systemctl start nginx
$ systemctl enable nginx

6.4 开始使用 JumpServer

6.4.1 检查应用是否已经正常运行

$ cd /opt/jumpserver
$ ./jms status  # 肯定jumpserver已经运行,若是没有运行请从新启动jumpserver

$ cd /opt/coco
$ ./cocod status  # 肯定jumpserver已经运行,若是没有运行请从新启动coco

# 若是安装了 Guacamole
$ docker ps -a  # 检查容器是否已经正常运行,若是没有运行请从新启动Guacamole
# 若是中止运行了,就须要启动一下
$ docker start 容器ID

6.4.2 使用

服务所有启动后,访问 http://192.168.244.144,访问nginx代理的端口,不要再经过8080端口访问前端

默认帐号: admin 密码: adminpython

若是部署过程当中没有接受应用的注册,须要到Jumpserver 会话管理-终端管理 接受 Coco Guacamole 等应用的注册。mysql

6.4.3 测试链接

若是登陆客户端是 macOS 或 Linux ,登陆语法以下
$ ssh -p2222 admin@192.168.244.144
$ sftp -P2222 admin@192.168.244.144
密码: admin

若是登陆客户端是 Windows ,Xshell Terminal 登陆语法以下
$ ssh admin@192.168.244.144 2222
$ sftp admin@192.168.244.144 2222
密码: admin
若是能登录表明部署成功

# sftp默认上传的位置在资产的 /tmp 目录下
# windows拖拽上传的位置在资产的 Guacamole RDP上的 G 目录下

小花样

/opt/coco/coco/interactive.pylinux

////////////////////////////////////////////////////////////////////\r
//                          _ooOoo_                               //\r
//                         o8888888o                              //\r
//                         88" . "88                              //\r
//                         (| ^_^ |)                              //\r
//                         O\  =  /O                              //\r
//                      ____/`---'\____                           //\r
//                    .'  \\\\|     |//  `.                         //\r
//                   /  \\\\|||  :  |||//  \                        //\r
//                  /  _||||| -:- |||||-  \                       //\r
//                  |   | \\\\\  -  /// |   |                       //\r
//                  | \_|  ''\---/''  |   |                       //\r
//                  \  .-\__  `-`  ___/-. /                       //\r
//                ___`. .'  /--.--\  `. . ___                     //\r
//              ."" '<  `.___\_<|>_/___.'  >'"".                  //\r
//            | | :  `- \`.;`\ _ /`;.`/ - ` : | |                 //\r
//            \  \ `-.   \_ __\ /__ _/   .-` /  /                 //\r
//      ========`-.____`-.___\_____/___.-`____.-'========         //\r
//                           `=---='                              //\r
//      ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^        //\r
//                  {green}佛祖保佑       永不宕机{end}                       //\r
////////////////////////////////////////////////////////////////////\r\n\r
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程