jumpserver跳板机
1.1跳板机
跳板机就是一台服务,开发或者运维人员在维护的过程当中首先要统一登陆到这台机器上,如何在登陆到目标设备进行维护或操做html
跳板机的缺点前端
1.没有实现对运维人员的行为控制和审计python
服务器出现了问题,没法追责mysql
1.2 堡垒机介绍
在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各类技术手段实时收集和监控网咯环境中每个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。nginx
咱们又把堡垒机叫作跳板机,简易的跳板机功能简单,主要核心功能时远程登陆服务器和日志审计。git
比较优秀的开源软件jumpserver,认证、受权、审计、自动化、资产管理github
商业堡垒机:齐治,CitrixXenAppweb
1.3 搭建简易堡垒机
具有堡垒机的条件时,该机器有公网和私网IP,其中私网和机房其余机器互通redis
设计堡垒机思路sql
跳板机安全设置(iptables端口限制、登陆限制sshd_config)
用户、目录权限限制
1.4Jumpserver概述
Jumpserver是一款使用python,Django开发的开源跳板机系统,为了互联网企业提供了双因子认证,受权,审计自动化运维等功能。
官方地址:http://www.jumpserver.org/
1.5 jumpserver能够实现的功能
1.6搭建Junmpserver跳板机/堡垒机
组件说明
- Jumpserver 为管理后台, 管理员能够经过 Web 页面进行资产管理、用户管理、资产受权等操做, 用户能够经过 Web 页面进行资产登陆, 文件管理等操做
- koko 为 SSH Server 和 Web Terminal Server 。用户可使用本身的帐户经过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产
- Coco 为 SSH Server 和 Web Terminal Server 。用户可使用本身的帐户经过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产
- Luna 为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登陆所须要的组件
- Guacamole 为 RDP 协议和 VNC 协议资产组件, 用户能够经过 Web Terminal 来链接 RDP 协议和 VNC 协议资产 (暂时只能经过 Web Terminal 来访问)
端口说明
- Jumpserver 默认端口为 8080/tcp 配置文件 jumpserver/config.yml
- koko 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 koko/config.yml
- coco 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在coco/config.yml
- Guacamole 默认端口为 8081/tcp, 配置文件 /config/tomcat9/conf/server.xml
- Nginx 默认端口为 80/tcp
- Redis 默认端口为 6379/tcp
- Mysql 默认端口为 3306/tcp
服务器环境
[root@oldboyedu nginx]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) #jumpserver版本 jumpserver:1.5.2
第一个历程:安装依赖关系
[root@oldboyedu ~]# yum -y install wget gcc epel-release git
第二个历程:安装缓存数据库(redis)
[root@oldboyedu ~]# yum -y install redis [root@oldboyedu ~]# systemctl start redis [root@oldboyedu opt]# systemctl enable redis
第三个历程:安装mysql数据库
[root@oldboyedu ~]# yum -y install mariadb mariadb-devel mariadb-server [root@oldboyedu ~]# systemctl start mariadb [root@zabbix ~]# systemctl enable mariadb
第四个历程:建立数据库Jumpserver而且受权
[root@oldboyedu ~]# mysql MariaDB [(none)]> create database jumpserver default charset 'utf8'; MariaDB [(none)]> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'aaa123456'; MariaDB [(none)]> FLUSH PRIVILEGES;
第五个历程:安装python
编译安装
- 安装依赖包
# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
- 编译安装
# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz # tar xvf Python-3.6.1.tar.xz && cd Python-3.6.1 # ./configure && make && make install
yum安装
[root@oldboyedu ~]# yum -y install python36 python-devel [root@oldboyedu ~]# cd /opt/ # 配置并载入 Python3 虚拟环境 [root@oldboyedu opt]# python3.6 -m venv py3 [root@oldboyedu opt]# source /opt/py3/bin/activate (py3) [root@oldboyedu opt]# # 退出虚拟环境可使用 deactivate 命令
第六个历程:下载jumpserver
(py3) [root@oldboyedu opt]# git clone --depth=1 https://github.com/jumpserver/jumpserver.git (py3) [root@oldboyedu jumpserver]# cd /opt/jumpserver/ (py3) [root@oldboyedu jumpserver]# #切换jumpserver主版本 (py3) [root@oldboyedu jumpserver]# git checkout master 已经位于 'master' (py3) [root@oldboyedu jumpserver]#
第七个历程:安装jumpserver依赖包
(py3) [root@oldboyedu jumpserver]# cd /opt/jumpserver/requirements/ (py3) [root@oldboyedu requirements]# yum -y install $(cat rpm_requirements.txt)
第八个历程:安装jumpserver的python库依赖
(py3) [root@oldboyedu requirements]# pip install --upgrade pip setuptools (py3) [root@oldboyedu requirements]# pip install -r requirements.txt -i https://pypi.douban.com/simple/
第九个历程:修改Jumpserver配置文件
(py3) [root@oldboyedu jumpserver]# cp config_example.yml config.yml (py3) [root@oldboyedu jumpserver]# sed -i "s/SECRET_KEY:/SECRET_KEY: aaa123456/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# sed -i "s/BOOTSTRAP_TOKEN:/BOOTSTRAP_TOKEN: aaa123456/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# sed -i "s/# DEBUG: true/DEBUG: false/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# sed -i "s/# LOG_LEVEL: DEBUG/LOG_LEVEL: ERROR/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# sed -i "s/# SESSION_EXPIRE_AT_BROWSER_CLOSE: false/SESSION_EXPIRE_AT_BROWSER_CLOSE: true/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# (py3) [root@oldboyedu jumpserver]# sed -i "s/DB_PASSWORD: /DB_PASSWORD: aaa123456/g" /opt/jumpserver/config.yml (py3) [root@oldboyedu jumpserver]# (py3) [root@oldboyedu jumpserver]# cat config.yml # SECURITY WARNING: keep the secret key used in production secret! # 加密秘钥 生产环境中请修改成随机字符串,请勿外泄, 可以使用命令生成 # $ cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 49;echo SECRET_KEY: aaa123456 # SECURITY WARNING: keep the bootstrap token used in production secret! # 预共享Token coco和guacamole用来注册服务帐号,不在使用原来的注册接受机制 BOOTSTRAP_TOKEN: aaa123456 # Development env open this, when error occur display the full process track, Production disable it # DEBUG 模式 开启DEBUG后遇到错误时能够看到更多日志 DEBUG: false # DEBUG, INFO, WARNING, ERROR, CRITICAL can set. See https://docs.djangoproject.com/en/1.10/topics/logging/ # 日志级别 LOG_LEVEL: ERROR # LOG_DIR: # Session expiration setting, Default 24 hour, Also set expired on on browser close # 浏览器Session过时时间,默认24小时, 也能够设置浏览器关闭则过时 # SESSION_COOKIE_AGE: 86400 SESSION_EXPIRE_AT_BROWSER_CLOSE: true # Database setting, Support sqlite3, mysql, postgres .... # 数据库设置 # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases # SQLite setting: # 使用单文件sqlite数据库 # DB_ENGINE: sqlite3 # DB_NAME: # MySQL or postgres setting like: # 使用Mysql做为数据库 DB_ENGINE: mysql DB_HOST: 127.0.0.1 DB_PORT: 3306 DB_USER: jumpserver DB_PASSWORD: aaa123456 DB_NAME: jumpserver # When Django start it will bind this host and port # ./manage.py runserver 127.0.0.1:8080 # 运行时绑定端口 HTTP_BIND_HOST: 0.0.0.0 HTTP_LISTEN_PORT: 8080 # Use Redis as broker for celery and web socket # Redis配置 REDIS_HOST: 127.0.0.1 REDIS_PORT: 6379 # REDIS_PASSWORD: # REDIS_DB_CELERY: 3 # REDIS_DB_CACHE: 4 # Use OpenID authorization # 使用OpenID 来进行认证设置 # BASE_SITE_URL: http://localhost:8080 # AUTH_OPENID: false # True or False # AUTH_OPENID_SERVER_URL: https://openid-auth-server.com/ # AUTH_OPENID_REALM_NAME: realm-name # AUTH_OPENID_CLIENT_ID: client-id # AUTH_OPENID_CLIENT_SECRET: client-secret # AUTH_OPENID_IGNORE_SSL_VERIFICATION: True # AUTH_OPENID_SHARE_SESSION: False # # Use Radius authorization # 使用Radius来认证 # AUTH_RADIUS: false # RADIUS_SERVER: localhost # RADIUS_PORT: 1812 # RADIUS_SECRET: # OTP settings # OTP/MFA 配置 # OTP_VALID_WINDOW: 0 # OTP_ISSUER_NAME: Jumpserver (py3) [root@oldboyedu jumpserver]# (py3) [root@oldboyedu jumpserver]# ./jms start all
第十个历程:下载coco
[root@oldboyedu ~]# cd /opt/ (py3) [root@oldboyedu opt]# git clone https://github.com/jumpserver/coco.git
第十一个历程:安装coco依赖包
(py3) [root@oldboyedu coco]# cd /opt/coco/requirements/ (py3) [root@oldboyedu requirements]# yum -y install $(cat rpm_requirements.txt)
第十二个历程:安装coco的python依赖包
(py3) [root@oldboyedu requirements]# pip install -r requirements.txt -i https://pypi.douban.com/simple/
第十三个历程:修改coco配置文件
(py3) [root@oldboyedu opt]# cd coco/
(py3) [root@oldboyedu coco]# cp config_example.yml config.yml
(py3) [root@oldboyedu coco]# sed -i 's/BOOTSTRAP_TOKEN: <PleasgeChangeSameWithJumpserver>/BOOTSTRAP_TOKEN: aaa123456/g' config.yml
(py3) [root@oldboyedu coco]# cat config.yml
# 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
# NAME: {{ Hostname }}
# Jumpserver项目的url, api请求注册会使用
CORE_HOST: http://127.0.0.1:8080
# Bootstrap Token, 预共享秘钥, 用来注册coco使用的service account和terminal
# 请和jumpserver 配置文件中保持一致,注册完成后能够删除
BOOTSTRAP_TOKEN: aaa123456
# 启动时绑定的ip, 默认 0.0.0.0
# BIND_HOST: 0.0.0.0
# 监听的SSH端口号, 默认2222
# SSHD_PORT: 2222
# 监听的HTTP/WS端口号,默认5000
# HTTPD_PORT: 5000
# 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
# 若是有需求, 能够写到配置文件中, 格式 access_key_id:access_key_secret
# ACCESS_KEY: null
# ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
# ACCESS_KEY_FILE: data/keys/.access_key
# 加密密钥
# SECRET_KEY: null
# 设置日志级别 [DEBUG, INFO, WARN, ERROR, FATAL, CRITICAL]
# LOG_LEVEL: INFO
# 日志存放的目录
# LOG_DIR: logs
# SSH白名单
# ALLOW_SSH_USER: all
# SSH黑名单, 若是用户同时在白名单和黑名单,黑名单优先生效
# BLOCK_SSH_USER:
# -
# 和Jumpserver 保持心跳时间间隔
# HEARTBEAT_INTERVAL: 5
# Admin的名字,出问题会提示给用户
# ADMINS: ''
# SSH链接超时时间 (default 15 seconds)
# SSH_TIMEOUT: 15
# 语言 [en,zh]
# LANGUAGE_CODE: zh
# SFTP的根目录, 可选 /tmp, Home其余自定义目录
# SFTP_ROOT: /tmp
# SFTP是否显示隐藏文件
# SFTP_SHOW_HIDDEN_FILE: false
# 是否复用和用户后端资产已创建的链接(用户不会复用其余用户的链接)
# REUSE_CONNECTION: true
(py3) [root@oldboyedu coco]#
(py3) [root@oldboyedu coco]# ./cocod start
第十四个历程:下载Luna
(py3) [root@oldboyedu opt]# wget https://demo.jumpserver.org/download/luna/1.5.2/luna.tar.gz (py3) [root@oldboyedu opt]# tar xf luna.tar.gz (py3) [root@oldboyedu opt]# chown -R root.root luna.tar.gz (py3) [root@oldboyedu opt]#
第十五个历程:配置Nginx整合各组件
(py3) [root@oldboyedu opt]# cd /etc/nginx/
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# mkdir jumpserver
(py3) [root@oldboyedu nginx]# cat jumpserver/jumpserver.conf
server {
listen 80;
client_max_body_size 100m;
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}
location /static/ {
root /opt/jumpserver/data/;
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /coco/ {
proxy_pass http://localhost:5000/coco/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# grep -Ev '#|^$' nginx.conf.default >nginx.conf
(py3) [root@oldboyedu nginx]# cat nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
include /etc/nginx/jumpserver/jumpserver.conf;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
}
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# systemctl restart nginx
重启nginx服务在浏览器输入:http://10.0.1.201
用户名:admin 密码:admin
相关文章
- 1. JumpServer跳板机
- 2. 跳板机 jumpserver
- 3. jumpserver跳板机搭建
- 4. Jumpserver跳板机安装
- 5. 搭建 Jumpserver 跳板机
- 6. phpstorm连接跳板机jumpserver
- 7. jumpserver 跳板机系统
- 8. 搭建一个jumpserver跳板机
- 9. Jumpserver跳板机搭建过程
- 10. 开源运维跳板机jumpserver安装
- 更多相关文章...
- • jQuery Mobile 面板 - jQuery Mobile 教程
- • Maven 项目模板 - Maven教程
- • 漫谈MySQL的锁机制
- • 为了进字节跳动,我精选了29道Java经典算法题,带详细讲解
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章