介绍:
Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是一个专业的运维审计系统。Jumpserver 采纳分布式架构,支持多机房跨区域部署,中心节点提供 API,各机房部署登录节点,可横向扩展、无并发访问限制。具有完全开源,GPL授权,Python编写,容易再次开发,实现了跳板机基本功能,认证、授权、审计,集成了Ansible,批量命令等,支持WebTerminal ,Bootstrap编写,界面美观,自动收集硬件信息,录像回放,命令搜索,实时监控,批量上传下载等强大的功能。
组件说明:
- Jumpserver 为管理后台,管理员可以通过Web页面进行资产管理、用户管理、资产授权等操作
- Coco 为 SSH Server 和 Web Terminal Server 。用户可以通过使用自己的账户登录 SSH 或者 Web Terminal 直接访问被授权的资产。不需要知道服务器的账户密码
- Luna 为 Web Terminal Server 前端页面,用户使用 Web Terminal 方式登录所需要的组件
- Guacamole 为 Windows 组件,用户可以通过 Web Terminal 来连接 Windows 资产 (暂时只能通过 Web Terminal 来访问)
端口说明:
- Jumpserver 默认端口为 8080/tcp 配置文件在 jumpserver/config.py
- Coco 默认 SSH 端口为 2222/tcp ,默认 Web Terminal 端口为 5000/tcp 配置文件在 coco/conf.py
- Guacamole 默认端口为 8081/tcp 在 docker run 时指定
- Nginx 默认端口为 80/tcp 配置在 nginx/nginx.conf 中指定
环境:
ubuntu 18.04
jumpserver:192.168.31.57
clients(一台树莓派):192.168.31.204
python: 3.6.1
安装jumpserver:
1.python环境:
ubuntu18.04一般默认安装python2.7和python3.6.1,这里我们就省去了安装python的时间了,如果你的电脑没有python3.6.1或者版本比他低的话就需要自己编译安装了
1.1 安装依赖包:(如果已经有python环境的跳到请1.3)
➜ sudo apt-get update && apt-get -y upgrade
➜ sudo apt-get -y install wget libkrb5-dev libsqlite3-dev gcc make automake libssl-dev zlib1g-dev libmysqlclient-dev libffi-dev git xz-utils
#修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文
➜ sudo apt-get install language-pack-zh-hans
➜ echo 'LANG="zh_CN.UTF-8"' > /etc/default/locale
1.2 编译安装:
➜ cd /opt
➜ wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
➜ sudo tar xvf Python-3.6.1.tar.xz
➜ chmor 777 -R Python-3.6.1
➜ ./configure --prefix=/opt/py3 && make && make install
1.3 建立python环境:
➜ cd /opt
➜ /opt/py3/bin/python3 -m venv py3 //如果是用系统的python环境,python -m venv py3
➜ source /opt/py3/bin/activate
#看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行(py3) [root@localhost py3]
1.4 自动载入 Python 虚拟环境配置
此项仅为懒癌晚期的人员使用,防止运行 Jumpserver 时忘记载入 Python 虚拟环境导致程序无法运行。使用autoenv
➜ cd /opt
➜ git clone https://github.com/kennethreitz/autoenv.git
➜ echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc
➜ source ~/.bashrc
2.安装Jumpserver
2.1 下载:
➜ cd /opt/
➜ git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master
➜ echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env # 进入 jumpserver 目录时将自动载入 python 虚拟环境
#首次进入 jumpserver 文件夹会有提示,按 y 即可
#Are you sure you want to allow this? (y/N) y
2.2 安装依赖包:
➜ cd /opt/jumpserver/requirements
➜ apt-get -y install $(cat deb_requirements.txt) # 如果没有任何报错请继续
2.3 安装python依赖:
➜ pip install -r requirements.txt -i https://pypi.python.org/simple
2.4 安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke:
➜ sudo apt-get -y install redis-server
2.5 安装 MySQL:
➜ sudo apt-get -y install mysql-server #安装过程中注意输入数据库 root账户 的密码,如果有让你输入就输入,如果没有就继续
2.6 创建数据库 Jumpserver 并授权:
如果你安装ubuntu的时候没有输入密码,那就
➜ sudo vim /etc/mysql/debian.cnf
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = debian-sys-maint
password = vv4ajucDngzl7IGg
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = debian-sys-maint
password = vv4ajucDngzl7IGg
socket = /var/run/mysqld/mysqld.sock
复制password 里面的密码vv4ajucDngzl7IGg
➜ mysql -u debian-sys-maint -p 上面的长密码
> use mysql;
> update user set authentication_string=PASSWORD("自定义密码") where user='root'; //修改root的密码
> update user set plugin="mysql_native_password";
> flush privileges; //更新
> quit;
➜ sudo /etc/init.d/mysql restart
➜ mysql -u root -p 密码;
> create database jumpserver default charset 'utf8'; //创建一个数据库jumpserver
> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by '密码'; //创建一个用户jumpserver,把jumpserver数据库授权给他
> flush privileges; //更新
2.7 修改 Jumpserver 配置文件:
➜ cd /opt/jumpserver
➜ cp config_example.py config.py
➜ vi config.py
这里放上我的配置文件
"""
jumpserver.config
~~~~~~~~~~~~~~~~~
Jumpserver project setting file
:copyright: (c) 2014-2017 by Jumpserver Team
:license: GPL v2, see LICENSE for more details.
"""
import os
BASE_DIR = os.path.dirname(os.path.abspath(__file__))
class Config:
# Use it to encrypt or decrypt data
# Jumpserver 使用 SECRET_KEY 进行加密,请务必修改以下设置
# SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'
SECRET_KEY = ''2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%xsj''
# Django security setting, if your disable debug model, you should setting that
ALLOWED_HOSTS = ['*']
# DEBUG 模式 True为开启 False为关闭,默认开启,生产环境推荐关闭
# 注意:如果设置了DEBUG = False,访问8080端口页面会显示不正常,需要搭建 nginx 代理才可以正常访问
DEBUG = os.environ.get("DEBUG") or False
# 日志级别,默认为DEBUG,可调整为INFO, WARNING, ERROR, CRITICAL,默认INFO
LOG_LEVEL = os.environ.get("LOG_LEVEL") or 'WARNING'
LOG_DIR = os.path.join(BASE_DIR, 'logs')
# 使用的数据库配置,支持sqlite3, mysql, postgres等,默认使用sqlite3
# See https://docs.djangoproject.com/en/1.10/ref/settings/#databases
# 默认使用SQLite3,如果使用其他数据库请注释下面两行
# DB_ENGINE = 'sqlite3'
# DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')
# 如果需要使用mysql或postgres,请取消下面的注释并输入正确的信息,本例使用mysql做演示(mariadb也是mysql)
DB_ENGINE = os.environ.get("DB_ENGINE") or 'mysql'
DB_HOST = os.environ.get("DB_HOST") or '127.0.0.1'
DB_PORT = os.environ.get("DB_PORT") or 3306
DB_USER = os.environ.get("DB_USER") or 'jumpserver'
DB_PASSWORD = os.environ.get("DB_PASSWORD") or 'jumpserver用户的密码'
DB_NAME = os.environ.get("DB_NAME") or 'jumpserver'
# Django 监听的ip和端口,生产环境推荐把0.0.0.0修改成127.0.0.1,这里的意思是允许x.x.x.x访问,127.0.0.1表示仅允许自身访问
# ./manage.py runserver 127.0.0.1:8080
HTTP_BIND_HOST = '127.0.0.1'
HTTP_LISTEN_PORT = 8080
# Redis 相关设置
REDIS_HOST = os.environ.get("REDIS_HOST") or '127.0.0.1'
REDIS_PORT = os.environ.get("REDIS_PORT") or 6379
REDIS_PASSWORD = os.environ.get("REDIS_PASSWORD") or ''
REDIS_DB_CELERY = os.environ.get('REDIS_DB') or 3
REDIS_DB_CACHE = os.environ.get('REDIS_DB') or 4
def __init__(self):
pass
def __getattr__(self, item):
return None
class DevelopmentConfig(Config):
pass
class TestConfig(Config):
pass
class ProductionConfig(Config):
pass
#Default using Config settings, you can write if/else for different env
config = DevelopmentConfig()
2.8 生成数据库表结构和初始化数据:
➜ cd /opt/jumpserver/utils
➜ ./make_migrations.sh
2.9 运行 Jumpserver
➜ cd /opt/jumpserver
➜ ./jms start all # 后台运行使用 -d 参数./jms start all -d
# ./jms start|stop|status|restart all 后台运行请添加 -d 参数
运行不报错,请浏览器访问 http://192.168.244.144:8080/ 默认账号: admin 密码: admin 页面显示不正常先不用处理,继续往下操作
3. 安装Coco
3.1 下载coco:
新开一个终端
➜ cd /opt
➜ source /opt/py3/bin/activate
➜ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
➜ echo "source /opt/py3/bin/activate" > /opt/coco/.env # 进入 coco 目录时将自动载入 python 虚拟环境
3.2 安装依赖:
cd /opt/coco/requirements
pip install -r requirements.txt -i https://pypi.python.org/simple
3.3 查看配置文件并运行:
➜ cd /opt/coco
➜ cp conf_example.py conf.py # 如果 coco 与 jumpserver 分开部署,请手动修改 conf.py
➜ vi conf.py
# 注意对齐,不要直接复制本文档的内容,实际内容以文件为准,本文仅供参考
这里放上我的配置文件
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
#
import os
BASE_DIR = os.path.dirname(__file__)
class Config:
"""
Coco config file, coco also load config from server update setting below
"""
# 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
# NAME = "localhost"
NAME = "coco"
# Jumpserver项目的url, api请求注册会使用, 如果Jumpserver没有运行在127.0.0.1:8080,请修改此处
# CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'
CORE_HOST = 'http://127.0.0.1:8080'
# 启动时绑定的ip, 默认 0.0.0.0
# BIND_HOST = '0.0.0.0'
# 监听的SSH端口号, 默认2222
# SSHD_PORT = 2222
# 监听的HTTP/WS端口号,默认5000
# HTTPD_PORT = 5000
# 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
# 如果有需求, 可以写到配置文件中, 格式 access_key_id:access_key_secret
# ACCESS_KEY = None
# ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
# ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')
# 加密密钥
# SECRET_KEY = None
# 设置日志级别 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']
# LOG_LEVEL = 'INFO'
LOG_LEVEL = 'WARN'
# 日志存放的目录
# LOG_DIR = os.path.join(BASE_DIR, 'logs')
# Session录像存放目录
# SESSION_DIR = os.path.join(BASE_DIR, 'sessions')
# 资产显示排序方式, ['ip', 'hostname']
# ASSET_LIST_SORT_BY = 'ip'
# 登录是否支持密码认证
# PASSWORD_AUTH = True
# 登录是否支持秘钥认证
# PUBLIC_KEY_AUTH = True
# SSH白名单
# ALLOW_SSH_USER = 'all' # ['test', 'test2']
# SSH黑名单, 如果用户同时在白名单和黑名单,黑名单优先生效
# BLOCK_SSH_USER = []
# 和Jumpserver 保持心跳时间间隔
# HEARTBEAT_INTERVAL = 5
# Admin的名字,出问题会提示给用户
# ADMINS = ''
COMMAND_STORAGE = {
"TYPE": "server"
}
REPLAY_STORAGE = {
"TYPE": "server"
}
# SSH连接超时时间 (default 15 seconds)
# SSH_TIMEOUT = 15
# 语言 = en
LANGUAGE_CODE = 'zh'
config = Config()
4.安装Luna
Luna 已改为纯前端,需要 Nginx 来运行访问
4.1 下载Luna
➜ cd /opt/
➜ wget https://github.com/jumpserver/luna/releases/download/1.4.1/luna.tar.gz
➜ tar xvf luna.tar.gz
➜ chown -R root:root luna
5. 配置 Nginx
2018-09-20
6.1 安装 Nginx
➜ sudo apt-get -y install nginx
6.2 准备配置文件 修改 /etc/nginx/site-enabled/default
➜ vi /etc/nginx/site-enabled/default
server {
listen 80;
server_name _;
## 新增如下内容,以上内容是原文内容,请从这一行开始复制
client_max_body_size 100m; # 录像上传大小限制
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/; # luna 路径,如果修改安装目录,此处需要修改
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/; # 录像位置,如果修改安装目录,此处需要修改
}
location /static/ {
root /opt/jumpserver/data/; # 静态资源,如果修改安装目录,此处需要修改
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/; # 如果coco安装在别的服务器,请填写它的ip
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /guacamole/ {
proxy_pass http://localhost:8081/; # 如果guacamole安装在别的服务器,请填写它的ip
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
access_log off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
6.3 重启 Nginx
➜ nginx -t //检查配置文件是否正确,如果没有错误,继续下一步
➜ service nginx restart
6.4 开始使用 Jumpserver
➜ cd /opt/jumpserver
➜ ./jms status //运行jumpserver
➜ cd /opt/coco
➜ ./cocod status //运行coco
服务全部启动后,访问 http://192.168.244.144
默认账号: admin 密码: admin
然后到Jumpserver 会话管理-终端管理 接受 Coco Guacamole 等应用的注册
测试coco
➜ ssh -p 2222 admin@192.168.31.57
➜ sftp -P 2222 admin@192.168.31.57
密码: admin
如果能登陆代表部署成功
# sftp默认上传的位置在资产的 /tmp 目录下
# windows拖拽上传的位置在资产的 Guacamole RDP上的 G 目录下
使用:
使用这里我因为没有邮件服务器,所以我不会说如何创建用户,只会讲如何添加资产,添加资产的管理用户和系统用户,
需要条件:
- 一台配置好的jumpserver
- 一台可用的 Linux、Windows资产设备(我这里用的是我内网的一台树莓派 ip:192.168.31.204)
设置:
点击系统设置 ➜ 基本设置
修改 URL 的 localhost 为你的实际 url 地址,否则邮件收到的地址将为 localhost
修改完 url 地址后需要重启 jumpserver 服务
➜ cd /opt/jumpserver
➜ ./jms restart
然后后面的邮件设置,因为我没有SMTP服务器所以我就没有配置,还有添加用户,密码是需要通过邮件服务器接受密码,所以我这里就不介绍如何添加用户了,只介绍如何添加资产和配置资产权限。和添加管理用户和系统用户,何为管理用户,管理用户就是资产的root,系统用户就是你登录资产或者切换使用的用户,他可以是资产中已经存在的用户,也可以是root,或者使用jumpserver的用户推送功能,给系统推送用户,你可以给他分配权限。
创建资产:
创建资产需要先创建管理用户,然后把资产分配给管理用户
节点不能重名,右击节点可以添加、删除和重命名节点,以及进行资产相关的操作
注:如果有 linux 资产和 windows 资产,建议先建立 Linux 节点与 Windows 节点,不然授权时不好处理。
2018-09-20 09-24-04屏幕截图.png
jumpserver还能自动检测资产的硬件信息
创建管理用户
# 管理用户是资产上的 root,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等
# 如果使用ssh私钥管理资产,需要先在资产上设置,这里举个例子供参考(本例登录资产使用root为例)
(1). 在资产上生成 root 账户的公钥和私钥
➜ ssh-keygen -t rsa # 默认会输入公钥和私钥文件到 ~/.ssh 目录
(2). 将公钥输出到文件 authorized_keys 文件,并修改权限
➜ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
➜ chmod 400 ~/.ssh/authorized_keys
(3). 打开RSA验证相关设置
➜ vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
(4). 重启 ssh 服务
➜ service ssh restart
(5). 上传 ~/.ssh 目录下的 id_rsa 私钥到 jumpserver 的管理用户中
➜ scp ./id_rsa kevin@192.168.31.57:/home/kevin
# 这样就可以使用 ssh私钥 进行管理服务器
# 名称可以按资产树来命名。用户名root。密码和 SSH 私钥必填一个
2018-09-20 09-41-52屏幕截图.png
创建系统用户
# 系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户
# 系统用户的 Sudo 栏设定用户的 sudo 权限
# 这里简单举几个例子
Sudo /bin/su # 当前系统用户可以免sudo密码执行sudo su命令
Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/tail
# 当前系统用户可以免sudo密码执行git php cat more less tail
Sudo !/usr/bin/yum # 禁止执行 yum 权限
# 此处的权限应该根据使用用户的需求汇总后定制,原则上给予最小权限即可
2018-09-20 09-47-26屏幕截图.png
还可以配置登录模式,是选择手动登录还是自动登录,还有优先级,优先级越高的会作为系统的默认用户
创建资产
点击页面左侧的“资产管理”菜单下的“资产列表”按钮,查看当前所有的资产列表。
点击页面左上角的“创建资产”按钮,进入资产创建页面,填写资产信息。
IP 地址和管理用户要确保正确,确保所选的管理用户的用户名和密码能"牢靠"地登录指定的 IP 主机上。
资产的系统平台也务必正确填写。公网 IP 信息只用于展示,可不填,Jumpserver 连接资产使用的是 IP 信息。
2018-09-20 13-47-13屏幕截图.png
资产创建信息填写好保存之后,可测试资产是否能正确连接
注:被连接资产需要python组件,且版本大于等于2.6,Ubuntu等资产默认不允许root用户远程ssh登录,请自行处理
如果资产不能正常连接,请检查管理用户的用户名和密钥是否正确以及该管理用户是否能使用 SSH 从 Jumpserver 主机正确登录到资产主机上
创建授权规则
准遵循规则:资产授权给个人,节点授权给用户组,一个授权只能选择一个系统用户
2018-09-20 13-50-14屏幕截图.png
