手把手从0开始教你搭建Jumpserver,为服务器安全保驾护航!

有趣有内涵的文章第一时间送达!

1、Jumpserver简单介绍

Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统。Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好。

Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。

2、架构图如下

3、组件说明

Jumpserver

现指 Jumpserver 管理后台,是核心组件(Core), 使用 Django Class Based View 风格开发,支持 Restful API。

Coco

实现了 SSH Server 和 Web Terminal Server 的组件,提供 SSH 和 WebSocket 接口, 使用 Paramiko 和 Flask 开发。

Luna

现在是 Web Terminal 前端,计划前端页面都由该项目提供,Jumpserver 只提供 API,不再负责后台渲染html等。

Guacamole

Apache 跳板机项目,Jumpserver 使用其组件实现 RDP 功能,Jumpserver 并没有修改其代码而是添加了额外的插件,支持 Jumpserver 调用。

Jumpserver-Python-SDK

Jumpserver API Python SDK,Coco 目前使用该 SDK 与 Jumpserver API 交互。

参考文章:http://docs.jumpserver.org/zh/latest/admin_instruction.html4、安装环境准备系统环境说明

关闭防火墙与selinux

准备 Python3 和 Python 虚拟环境安装依赖包

编译安装python

建立 Python 虚拟环境

因为 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境

5、安装jumpserver

安装依赖 RPM 包

安装 Python 库依赖

安装 Redis

安装 MySQL

这里直接使用二进制安装包安装,具体可参考之前的文章

创建数据库 Jumpserver 并授权

修改 Jumpserver 配置文件

生成数据库表结构和初始化数据

运行jumpserver

运行之后没有报错信息,就可以使用浏览器访问了http://server_ip:8080

默认用户名/密码:admin/admin此时运行的只是jumpserver的WEB端,如果需要访问访问 Web Terminal 会报错如下

安装 SSH Server 和 WebSocket Server: Coco

新打开一个 SSH终端连接去安装

下载项目文件

安装依赖

点击确认之后会出现下面的提示

测试连接

安装 Web Terminal 前端: Luna

Luna 已改为纯前端,需要 Nginx 来运行访问,访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不需要编译。

需要注意的是修改默认IP如下图

配置 Nginx 整合各组件

最后通过nginx直接访问如下

简单使用配置

系统几个用户的区别

用户:是指你在web上创建的用户,会在跳板机上创建这个用户,作用就是用于登录跳板机,另外用户分为普通用户和超级管理员,后者可以审计查看用户登陆记录、命令历史等

管理用户:是指客户端上的如root等高权限账号(或普通用户拥有NOPASSWD: ALL sudo权限), 作用用于推送系统用户,注意是已经在客户端用户上存在的用户。

系统用户:是指要在客户端上创建这个系统用户,通过推送来实现,作用就是登录客户端。

管理用户和系统用户的关系:

两者都是客户端上的用户,后者涉及到一个推送动作

比如推送test系统用户,也就是在客户端上创建test用户,那么创建用户需要有权限

有没有权限创建就要看你是用客户端的root用户还是普通用户做为管理用户

如果后者做为管理用户就需要添加sudo权限又是NOPASSWD: ALL

添加用户组

添加用户

这个用户是与后面的管理用户、系统用户没有关联

添加完成

创建管理用户

这个用户否则后面会有问题,这里我以管理用户为例创建

添加系统用户

系统用户是可以理解为登录资产用户,如 web, sa, dba(),而不是使用某个用户的用户名跳转登录服务器();简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。 系统用户创建时,如果选择了自动推送 Jumpserver会使用ansible自动推送系统用户到资产中,如果资产(交换机、windows)不支持ansible, 请手动填写账号密码。 目前还不支持Windows的自动推送.

注:这个系统在创建时,是可以配置sudo权限的

创建资产

创建完成后,可以在下面的界面测试连接性

点击更新硬件信息

点击测试可连接性

表示正常连接,返回资产列表如下图

测试登录效果

WEB端也可以看到在线的会话

历史会话

还可以看到具体回放功能,点击回放可查看登录用户的操作过程

命令记录

整体仪表盘

注:预告下,9月送书活动即将开启,可关注后续的推文。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180913A08WLV00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券