为了加强公司内部网络及服务器的安全，规范服务器的使用，降低被外部黑客攻击的风险，比较好的方法是搭建堡垒机，统一服务器的运维入口，并且可以审计所有的运维操作。

目前市面常见的开源堡垒机有Jumpserver、Teleport、GateOne、CrazyEye 等。这次我们选择JumpServer来搭建自己的堡垒机。

首先来看看官方自己的宣传：

JumpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。
JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。

广告看起来都很美好，我们来实际看看。

JumpServer分为开源版本和企业版，企业版在开源版的基础上支持X-Pack 增强包和企业级支持服务。使用开源版基本就能满足我们日常的安全需求了。

JumpServer有多种部署方式，使用容器部署方式无疑是其中最方便的一种。

环境搭建

JumpServer的all镜像自带了mysql和redis，秉承无状态的理念，我毫不犹豫使用外置的mysql数据库。redis只是起到缓存作用，就使用镜像自带的即可。

搭建mysql数据库

首先你得有一个独立的mysql服务器，然后执行以下脚本创建一个数据库和用户。

-- 创建数据库
create database jumpserver default charset 'utf8' collate 'utf8_bin';
-- 创建用户jumpserver并设置密码
grant all on jumpserver.* to 'jumpserver'@'%' identified by '密码';

生成密钥和token

执行以下命令生成密钥和token

mac环境

if [ ! "$SECRET_KEY" ]; then
  SECRET_KEY=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 50`;
  echo $SECRET_KEY;
else
  echo $SECRET_KEY;
fi  
if [ ! "$BOOTSTRAP_TOKEN" ]; then
  BOOTSTRAP_TOKEN=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 16`;
  echo $BOOTSTRAP_TOKEN;
else
  echo $BOOTSTRAP_TOKEN;
fi

linux环境

if [ ! "$SECRET_KEY" ]; then
  SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`;
  echo $SECRET_KEY;
else
  echo $SECRET_KEY;
fi  
if [ ! "$BOOTSTRAP_TOKEN" ]; then
  BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`;
  echo $BOOTSTRAP_TOKEN;
else
  echo $BOOTSTRAP_TOKEN;
fi

生成的密钥和token如下

pZgaDVk4SPbbw19MbgWGKGKABolTlQJPitNJpDKEiVcbD5kiBS
PdDkFAJzKhhWL2in

启动服务

我们将jumpserver数据目录指定为/usr/jumpserver/media，其余启动的参数按需修改：

$ docker run --name jumpserver -d \
-v /usr/jumpserver/media:/opt/jumpserver/data/media \
-p 80:80 \
-p 2222:2222 \
-e SECRET_KEY=pZgaDVk4SPbbw19MbgWGKGKABolTlQJPitNJpDKEiVcbD5kiBS \
-e BOOTSTRAP_TOKEN=PdDkFAJzKhhWL2in \
-e DB_HOST=192.168.x.x \
-e DB_PORT=3306 \
-e DB_USER=jumpserver \
-e DB_PASSWORD="xxx" \
-e DB_NAME=jumpserver \
jumpserver/jms_all:2.0.1

查看启动日志

$ docker logs -f --tail 100 jumpserver

进入容器命令

$ docker exec -it jumpserver /bin/bash

使用服务

浏览器访问jumpserver的管理界面：http://192.168.x.x
默认账号：admin/admin

image.png