设计思路

Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统，实现了跳板机应有的功能。基于ssh协议来管理，客户端无需安装agent。完全开源，GPL授权

设计思路

• 设计一个跳转网关，所有登录操作都从网关通过 网关具有模拟终端的功能，透明的中转ssh命令，以支持Tab,Ctrl+A,Ctrl-E等快捷键，网关既可以记录操作日志，又可以审计操作命令。
• 设计一个认证模块 为了实现认证功能，需要有个认证模块，认证信息存到数据库，用户使用跳板机首先需要认证。
• 设计一个授权框架 授权是跳板机不可缺少的部分，授权就是用户和资产的关系，将关系保存的数据库，用户登录主机需要先查授权。
• 设计审计模块 审计是为了追踪，我们支持了在线监控，命令统计，录像回放功能，供管理员审查。
• 用户和主机模块 跳板机脱离不了用户和主机，所以这两个部分是基本的模块，另外我们将主机模块扩展，实现基本CMDB功能。
• Web Terminal 现在都流行Web操作一切，于是我们又实现了Web Terminal，供用户直接在线链接服务器，这里实现是用了Tornado来完成的，Tornado实现WebSocket特别简单。

架构图

20200526180743745_415773244.png

组件说明

• Jumpserver 为管理后台, 管理员可以通过 Web 页面进行资产管理、用户管理、资产授权等操作, 用户可以通过 Web 页面进行资产登录, 文件管理等操作是核心组件（Core）, 使用 Django Class Based View 风格开发，支持 Restful API
• Luna 为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件 （ WebTerminalView ） 该组件由团队自己通过Angular 实现，Jumpserver 只提供 API，不再负责后台渲染html等。
• Koko(CoCo) 为 SSH Server 和 Web Terminal Server 。用户可以使用自己的账户通过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产。KoKo(最新版)是go版本的coco，新的Jumpserver ssh/ws server, 重构了 coco 的 SSH/SFTP 服务和 Web Terminal 服务 （ WebSFTPView ） SSH/SFTP/web terminal/web文件管理 （ WebSFTPView ） 实现了 SSH Server 和 Web Terminal Server 的组件，提供 SSH 和 WebSocket 接口, 使用 Paramiko 和 Flask 开发
• Guacamole 为 RDP 协议和 VNC 协议资产组件, 用户可以通过 Web Terminal 来连接 RDP 协议和 VNC 协议资产 (暂时只能通过 Web Terminal 来访问) Guacamole Apache 跳板机项目，Jumpserver 使用其组件实现 RDP 功能，Jumpserver 并没有修改其代码而是添加了额外的插件，支持 Jumpserver 调用。
• Jumpserver-Python-SDK Jumpserver Python SDK，(KoKo)Coco 目前使用该 SDK 与 Jumpserver API 交互。 为 Jumpserver ssh terminal 和 web terminal封装了一个sdk, 完成和Jumpserver 交互的一些功能
  • Service 通用RestApi 接口类
  • AppService 增加了app注册等
  • UserService 用户使用该类
• jms-storage-sdk 主要作为录像存储的工具类，支持本地或其他cloud存储（e.g. oss）

端口说明

• Jumpserver 默认端口为 8080/tcp 配置文件 jumpserver/config.yml
• KoKo(Coco) 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 KoKo(CoCo)/config.yml
• Guacamole 默认端口为 8081/tcp, 配置文件 /config/tomcat9/conf/server.xml
• Nginx 默认端口为 80/tcp
• Redis 默认端口为 6379/tcp
• Mysql 默认端口为 3306/tcp

20200526180806315_1173897932.png

技术实现

使用技术

• Python 3.6.1
• Django
• Angular (Luna)
• go （koko）
• Celery http://www.celeryproject.org/
• Redis cache 和 celery broke
• Flower - Celery monitoring tool
• Guacamole (webterminal -RDP)
• websoket 框架 （https://github.com/kataras/neffos）

服务启动

./jms start 命令将会下面服务

20200528102354700_861856403.png

• gunicorn - unix系统的wsgi http服务器，负责jsm-core的http请求
• Daphne - 支持HTTP, HTTP2 和 WebSocket 的asgi的服务器，主要处理WebSocket请求
• celery - 后台异步任务分发处理 -celery_ansible/celery_default 简单、灵活且可靠的，处理大量消息的分布式系统；专注于实时处理的异步任务队列，同时也支持任务调度
• flower - 负责监控 celery worker执行情况

Web Terminal

• 主要通过Luna，koko 和Guacamole实现

Luna

打开web terminal link 后，进入luna, luna 会通过api请求jms 的资源列表，进行树状展示

当需要进行RDP访问时，会向guacamole进行post请求 /guacamole/api/session/ext/jumpserver/asset/add

使用 mstsc.js 实现web版的javascript RDP client -https://github.com/citronneur/mstsc.js (很老的框架) 使用 socket.io 和画布来绑定 mstsc.js 后端。 前端通过 rle.js 文件完成位图的解压缩

webterminal 前端由luna 里的html5 canvas 和js 渲染出来

Luna 使用了 "guacamole-common-js": "1.1.0"， 提供了 Guacamole client的实现 http://guacamole.apache.org/doc/guacamole-common-js/

<div class="window" [ngClass]="{'active':view.active}" style="height: 100%">
  <elements-ssh-term
    [view]="view"
    [host]="view.host"
    [sysUser]="view.user"
    *ngIf="view.type=='ssh'"
  >
  </elements-ssh-term>
  <elements-guacamole
    [view]="view"
    [host]="view.host"
    [sysUser]="view.user"
    [remoteAppId]="view.remoteApp"
    *ngIf="view.type=='rdp'"
  >
  </elements-guacamole>
  <app-sftp *ngIf="view.type=='sftp'" [host]="view.host"></app-sftp>
</div>

koko(ssh）

• 老版本coco使用ssh python 库- Paramiko
• koko 启动时候会注册到jms, 需要配置中 “BOOTSTRAP_TOKEN” 与jump server保持一致, 用于身份认证
• 启动之后将会监听，当有新的ssh terminal窗口打开，就会尝通过websocket 建立ssh 连接 (依赖于Daphne），基于go的websocket实现
• 用户在web terminal 窗口操作时，koko 会对命令解析，和jms里的过滤规则匹配
• 连接中断后，开始上传录像(其实是json文件，记录了时序log)到jumpserver(/data/media)
• 使用了websoket 框架 - https://github.com/kataras/neffos

20200527094248561_866134588.png

Guacamole(rdp)

• 对Apache Guacamole 进行了改造，主要是Guacamole client/server war包，看不到源码改造
• 原生的Guacamole 本身可以单独提供 web terminal 服务，但是部署相对复杂，有单独的postgresql存储机器连接信息
• 改造后的Guacamole ()，也需要通过 BOOTSTRAP_TOKEN 注册到 jms

操作录像回放

操作的录制: ssh 是由koko基于websocket data完成; rdp 是由Guacamole API 完成

操作的回放：由 luna进行 replay 展示的，对ssh 录像(.json) 进行分割处理,使用js渲染成动画;

<elements-replay-json [replay]="replay" *ngIf="replay.type=='json'"></elements-replay-json>
<elements-replay-guacamole [replay]="replay" *ngIf="replay.type=='guacamole'"></elements-replay-guacamole>