1、Jumpserver簡單介紹
Jumpserver 是全球首款完全開源的堡壘機,使用 GNU GPL v2.0 開源協議,是符合 4A 的專業運維審計系統。Jumpserver 使用 Python / Django 進行開發,遵循 Web 2.0 規範,配備了業界領先的 Web Terminal 解決方案,互動介面美觀、使用者體驗好。
Jumpserver 採納分散式架構,支援多機房跨區域部署,中心節點提供 API,各機房部署登入節點,可橫向擴充套件、無併發訪問限制。
2、架構圖如下
3、元件說明
- Jumpserver
現指 Jumpserver 管理後臺,是核心元件(Core), 使用 Django Class Based View 風格開發,支援 Restful API。- Coco
實現了 SSH Server 和 Web Terminal Server 的元件,提供 SSH 和 WebSocket 介面, 使用 Paramiko 和 Flask 開發。- Luna
現在是 Web Terminal 前端,計劃前端頁面都由該專案提供,Jumpserver 只提供 API,不再負責後臺渲染html等。- Guacamole
Apache 跳板機專案,Jumpserver 使用其元件實現 RDP 功能,Jumpserver 並沒有修改其程式碼而是新增了額外的外掛,支援 Jumpserver 呼叫。- Jumpserver-Python-SDK
Jumpserver API Python SDK,Coco 目前使用該 SDK 與 Jumpserver API 互動。參考文章:http://docs.jumpserver.org/zh..._instruction.html
4、安裝環境準備
系統環境說明
[root@test ~]# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
[root@test ~]# uname -r
3.10.0-693.el7.x86_64
[root@test ~]# ip add|grep 192.168.22
inet 192.168.22.175/24 brd 192.168.22.255 scope global ens32關閉防火牆與selinux
[root@test ~]# systemctl stop firewalld
[root@test ~]# systemctl disable firewalld
[root@test ~]# sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
[root@master ~]# grep "SELINUX=" /etc/selinux/config
# SELINUX= can take one of these three values:
SELINUX=disabled
[root@test ~]# reboot準備 Python3 和 Python 虛擬環境
安裝依賴包
[root@test ~]# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git編譯安裝python
[root@test ~]# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
[root@test ~]# tar xf Python-3.6.1.tar.xz
[root@test ~]# cd Python-3.6.1
[root@test Python-3.6.1]# ./configure
[root@test Python-3.6.1]# echo $?
0
[root@test Python-3.6.1]# make && make install
-------------------過程部分省略
fi
Collecting setuptools
Collecting pip
Installing collected packages: setuptools, pip
Successfully installed pip-9.0.1 setuptools-28.8.0
[root@test Python-3.6.1]# echo $?
0建立 Python 虛擬環境
因為 CentOS 6/7 自帶的是 Python2,而 Yum 等工具依賴原來的 Python,為了不擾亂原來的環境我們來使用 Python 虛擬環境
[root@test Python-3.6.1]# cd /opt/
[root@test opt]# python3 -m venv py3
[root@test opt]# source /opt/py3/bin/activate(py3) [root@test opt]#
# 看到上面的提示符代表成功,以後執行 Jumpserver 都要先執行以上 source 命令,以下所有命令均在該虛擬環境中執行(py3)
[root@localhost py3]5、安裝jumpserver
(py3) [root@test opt]# pwd
/opt
(py3) [root@test opt]# git clone --depth=1 https://github.com/jumpserver/jumpserver.git
Cloning into 'jumpserver'...
remote: Counting objects: 718, done.
remote: Compressing objects: 100% (652/652), done.
remote: Total 718 (delta 95), reused 380 (delta 22), pack-reused 0
Receiving objects: 100% (718/718), 5.31 MiB | 440.00 KiB/s, done.
Resolving deltas: 100% (95/95), done.
(py3) [root@test opt]# cd jumpserver/
(py3) [root@test jumpserver]# git checkout master
Already on 'master'安裝依賴 RPM 包
(py3) [root@test jumpserver]# cd /opt/jumpserver/requirements/
(py3) [root@test requirements]# yum -y install $(cat rpm_requirements.txt)
#無任何報錯即可完成安裝 Python 庫依賴
(py3) [root@test requirements]# pip install -r requirements.txt
#這裡官方比較坑,說不要指定源,不指定源根本裝不了,可根據實際情況指定相關的新pip源進行安裝,實在安裝不了的,下載原始碼包手工安裝。安裝 Redis
Jumpserver 使用 Redis 做 cache 和 celery broke
(py3) [root@master opt]# yum -y install redis
(py3) [root@master opt]# service redis start
Redirecting to /bin/systemctl start redis.service
(py3) [root@master opt]# lsof -i :6379
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 22530 redis 4u IPv4 71615 0t0 TCP localhost:6379 (LISTEN)安裝 MySQL
這裡直接使用二進位制安裝包安裝,具體可參考之前的文章
(py3) [root@master opt]# /etc/init.d/mysqld start
Starting MySQL SUCCESS!
(py3) [root@master opt]# lsof -i :3306
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
mysqld 23081 mysql 17u IPv6 73467 0t0 TCP *:mysql (LISTEN)建立資料庫 Jumpserver 並授權
(py3) [root@master opt]# mysql -uroot -p
Enter password:
Welcome to the MariaDB monitor. Commands end with ; or g.
Your MySQL connection id is 4
Server version: 5.7.17 MySQL Community Server (GPL)
Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MySQL [(none)]> create database jumpserver default charset 'utf8';
Query OK, 1 row affected (0.00 sec)
MySQL [(none)]> grant all on jumpserver.* to 'jumpserver'@'localhost' identified by '123456';
Query OK, 0 rows affected, 1 warning (0.00 sec)
MySQL [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)修改 Jumpserver 配置檔案
(py3) [root@master opt]# cd /opt/jumpserver/
(py3) [root@master jumpserver]# cp config_example.py config.py
(py3) [root@master jumpserver]# vim config.py
--------------------
# Default using Config settings, you can write if/else for different env
class DevelopmentConfig(Config):
DEBUG = True
DB_ENGINE = 'mysql'
DB_HOST = '127.0.0.1'
DB_PORT = 3306
DB_USER = 'jumpserver'
DB_PASSWORD = '123456'
DB_NAME = 'jumpserver'config = DevelopmentConfig()
#增加上面的內容生成資料庫表結構和初始化資料
(py3) [root@master jumpserver]# cd /opt/jumpserver/utils/
(py3) [root@master utils]# bash make_migrations.sh
2018-05-09 13:51:48 [signals_handler DEBUG] Receive django ready signal
2018-05-09 13:51:48 [signals_handler DEBUG] - fresh all settings
Migrations for 'assets':
/opt/jumpserver/apps/assets/migrations/0002_auto_20180509_1351.py
--------------------中間省略
Running migrations:
Applying assets.0001_initial... OK
Applying assets.0002_auto_20180509_1351... OK
Applying audits.0001_initial... OK
Applying contenttypes.0001_initial... OK
Applying contenttypes.0002_remove_content_type_name... OK
Applying auth.0001_initial... OK
Applying auth.0002_alter_permission_name_max_length... OK
Applying auth.0003_alter_user_email_max_length... OK
Applying auth.0004_alter_user_username_opts... OK
Applying auth.0005_alter_user_last_login_null... OK
Applying auth.0006_require_contenttypes_0002... OK
Applying auth.0007_alter_validators_add_error_messages... OK
Applying auth.0008_alter_user_username_max_length... OK
Applying captcha.0001_initial... OK
Applying common.0001_initial... OK
Applying django_celery_beat.0001_initial... OK
Applying django_celery_beat.0002_auto_20161118_0346... OK
Applying django_celery_beat.0003_auto_20161209_0049... OK
Applying django_celery_beat.0004_auto_20170221_0000... OK
Applying django_celery_beat.0005_add_solarschedule_events_choices... OK
Applying django_celery_beat.0006_auto_20180210_1226... OK
Applying ops.0001_initial... OK
Applying ops.0002_celerytask... OK
Applying users.0001_initial... OK
Applying users.0002_auto_20171225_1157... OK
Applying users.0003_auto_20180509_1351... OK
Applying perms.0001_initial... OK
Applying perms.0002_auto_20180509_1351... OK
Applying sessions.0001_initial... OK
Applying terminal.0001_initial... OK
Applying terminal.0002_auto_20180509_1351... OK執行jumpserver
(py3) [root@master utils]# cd /opt/jumpserver/
(py3) [root@master jumpserver]# python run_server.py all
Wed May 9 13:53:15 2018
Jumpserver version 1.3.0, more see https://www.jumpserver.org
- Start Gunicorn WSGI HTTP Server
Check database structure change ...
2018-05-09 13:53:17 [signals_handler DEBUG] Receive django ready signal
2018-05-09 13:53:17 [signals_handler DEBUG] - fresh all settings
---------------
Task terminal.tasks.clean_orphan_session[eb960461-07a0-4b42-a5bb-96fdd94fabcd] succeeded in 0.11468194000190124s: None執行之後沒有報錯資訊,就可以使用瀏覽器訪問了http://server_ip:8080
預設使用者名稱/密碼:admin/admin此時執行的只是jumpserver的WEB端,如果需要訪問訪問 Web Terminal 會報錯如下
安裝 SSH Server 和 WebSocket Server: Coco
新開啟一個 SSH終端連線去安裝
下載專案檔案
[root@master ~]# source /opt/py3/bin/activate
(py3) [root@master ~]# cd /opt/
(py3) [root@master opt]# git clone https://github.com/jumpserver/coco.git
Cloning into 'coco'...
remote: Counting objects: 1276, done.
remote: Total 1276 (delta 0), reused 0 (delta 0), pack-reused 1276
Receiving objects: 100% (1276/1276), 272.18 KiB | 39.00 KiB/s, done.
Resolving deltas: 100% (901/901), done.
(py3) [root@master opt]# cd coco && git checkout master
Already on 'master'安裝依賴
(py3) [root@master coco]# cd /opt/coco/requirements/
(py3) [root@master requirements]# yum -y install $(cat rpm_requirements.txt)
(py3) [root@master requirements]# pip install -r requirements.txt
(py3) [root@master requirements]# echo $?
0
(py3) [root@master requirements]# cd /opt/coco/
(py3) [root@master coco]# cp conf_example.py conf.py
(py3) [root@master coco]# python run_server.py
Start coco process
2018-05-09 14:19:44 [service DEBUG] Initial app service
2018-05-09 14:19:44 [service DEBUG] Load access key
2018-05-09 14:19:44 [service INFO] No access key found, register it
2018-05-09 14:19:44 [service INFO] "Terminal was not accepted yet"
2018-05-09 14:19:48 [service INFO] "Terminal was not accepted yet"
#此時需要去WEB管理後臺確認註冊資訊
點選確認之後會出現下面的提示
2018-05-09 14:21:23 [service DEBUG] Set app service auth: 9f13a90b-80e4-47ae-b0ad-d825cff70ff0
2018-05-09 14:21:23 [service DEBUG] Service http auth: <jms.auth.AccessKeyAuth object at 0x7f5d1b18de10>
2018-05-09 14:21:23 [app DEBUG] Loading config from server: {"COMMAND_STORAGE": {"TYPE": "server"}, "REPLAY\_STORAGE": {"TYPE": "server"}}
Wed May 9 14:21:23 2018
Coco version 1.3.0, more see https://www.jumpserver.org
Quit the server with CONTROL-C.
Starting ssh server at 0.0.0.0:2222
WebSocket transport not available. Install eventlet or gevent and gevent-websocket for improved performance.
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
#出現上面的提示表示成功測試連線
[root@testLinux1 ~]# ssh -p2222 admin@192.168.3.82
The authenticity of host '[192.168.3.82]:2222 ([192.168.3.82]:2222)' can't be established.
RSA key fingerprint is SHA256:Dw9BcxNFFZtgc1EpavxUeamzKT1VoX6UAPNIyzaEhpw.
RSA key fingerprint is MD5:16:d8:05:5e:12:9d:e5:54:ee:96:97:21:ab:33:2c:7e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.3.82]:2222' (RSA) to the list of known hosts.
admin@192.168.3.82's password:
Administrator, 歡迎使用Jumpserver開源跳板機系統
1) 輸入 ID 直接登入 或 輸入部分 IP,主機名,備註 進行搜尋登入(如果唯一).
2) 輸入 / + IP, 主機名 or 備註 搜尋. 如: /ip
3) 輸入 P/p 顯示您有許可權的主機.
4) 輸入 G/g 顯示您有許可權的主機組.
5) 輸入 G/g + 組ID 顯示該組下主機. 如: g1
6) 輸入 H/h 幫助.
0) 輸入 Q/q 退出.
Opt>
#能成功登入的表示安裝部署成功安裝 Web Terminal 前端: Luna
Luna 已改為純前端,需要 Nginx 來執行訪問,訪問(https://github.com/jumpserver...)下載對應版本的 release 包,直接解壓,不需要編譯。
(py3) [root@master opt]# docker run --name jms_guacamole -d \
-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \
-e JUMPSERVER_KEY_DIR=/config/guacamole/key \
-e JUMPSERVER_SERVER=http://192.168.3.82:8080 \
registry.jumpserver.org/public/guacamole:1.0.0
Unable to find image 'registry.jumpserver.org/public/guacamole:1.0.0' locally
Trying to pull repository registry.jumpserver.org/public/guacamole ...
1.0.0: Pulling from registry.jumpserver.org/public/guacamole
723254a2c089: Pull complete
abe15a44e12f: Pull complete
409a28e3cc3d: Pull complete
a9511c68044a: Pull complete
9d1b16e30bc8: Pull complete
0fc5a09c9242: Pull complete
d34976006493: Pull complete
3b70003f0c10: Pull complete
bc7887582e2e: Pull complete
d2ab4f165865: Pull complete
3882b23577d6: Pull complete
9f8b758ebfa6: Pull complete
ef5d2d838878: Pull complete
310fa32446d6: Pull complete
a23204f32cd2: Pull complete
f3cba08c8ef8: Pull complete
59073672f2e3: Pull complete
86d50039bf5c: Pull complete
7041bb4312f0: Pull complete
ca5c931789c9: Pull complete
cef49dddf00f: Pull complete
3535ea408862: Pull complete
2dd70d9a46ce: Pull complete Digest:
sha256:ea862bb2e83b648701655c27900bca14b0ab7ab9d4572e716c25a816dc55307b
Status: Downloaded newer image for registry.jumpserver.org/public/guacamole:1.0.038910abc050cea50fa03acc913e4916f17726820de9d6a1274f6e37a9131ba31
#然後去後臺接受註冊資訊
需要注意的是修改預設IP如下圖
配置 Nginx 整合各元件
(py3) [root@master opt]# yum install nginx -y
(py3) [root@master opt]# cd /etc/nginx/
(py3) [root@master nginx]# cp nginx.conf nginx.conf.bak
(py3) [root@master nginx]# vim nginx.conf
server {
listen 80;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}
location /static/ {
root /opt/jumpserver/data/;
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
access_log off;
}
location / {
proxy_pass http://localhost:8080;
}
}
}
(py3) [root@master nginx]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
(py3) [root@master nginx]# nginx
(py3) [root@master nginx]# lsof -i :80
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
nginx 24269 root 6u IPv4 100705 0t0 TCP *:http (LISTEN)
nginx 24270 nginx 6u IPv4 100705 0t0 TCP *:http (LISTEN)最後通過nginx直接訪問如下
簡單使用配置
系統幾個使用者的區別
- 使用者:是指你在web上建立的使用者,會在跳板機上建立這個使用者,作用就是用於登入跳板機,另外使用者分為普通使用者和超級管理員,後者可以審計檢視使用者登陸記錄、命令歷史等
- 管理使用者:是指客戶端上的如root等高許可權賬號(或普通使用者擁有NOPASSWD: ALL sudo許可權), 作用用於推送系統使用者,注意是已經在客戶端使用者上存在的使用者。
- 系統使用者:是指要在客戶端上建立這個系統使用者,通過推送來實現,作用就是登入客戶端。
管理使用者和系統使用者的關係:
- 兩者都是客戶端上的使用者,後者涉及到一個推送動作
- 比如推送test系統使用者,也就是在客戶端上建立test使用者,那麼建立使用者需要有許可權
- 有沒有許可權建立就要看你是用客戶端的root使用者還是普通使用者做為管理使用者
- 如果後者做為管理使用者就需要新增sudo許可權又是NOPASSWD: ALL
新增使用者組
新增使用者
這個使用者是用於登入jumpsesrver的使用者,與後面的管理使用者、系統使用者沒有關聯
新增完成
建立管理使用者
這個使用者必須具備客戶端管理許可權,否則後面會有問題,這裡我以管理使用者為例建立
新增系統使用者
系統使用者是Jumpserver跳轉登入資產時使用的使用者,可以理解為登入資產使用者,如 web, sa, dba(ssh web@some-host), 而不是使用某個使用者的使用者名稱跳轉登入伺服器(ssh xiaoming@some-host); 簡單來說是 使用者使用自己的使用者名稱登入Jumpserver, Jumpserver使用系統使用者登入資產。 系統使用者建立時,如果選擇了自動推送 Jumpserver會使用ansible自動推送系統使用者到資產中,如果資產(交換機、windows)不支援ansible, 請手動填寫賬號密碼。 目前還不支援Windows的自動推送.
注:這個系統在建立時,是可以配置sudo許可權的
建立資產
建立完成後,可以在下面的介面測試連線性
點選更新硬體資訊
點選測試可連線性
表示正常連線,返回資產列表如下圖
測試登入效果
[root@test ~]# ssh -p2222 jumpserver@192.168.3.82
jumpserver@192.168.3.82's password:
登入到jumpserver, 歡迎使用Jumpserver開源跳板機系統
1) 輸入 ID 直接登入 或 輸入部分 IP,主機名,備註 進行搜尋登入(如果唯一).
2) 輸入 / + IP, 主機名 or 備註 搜尋. 如: /ip
3) 輸入 P/p 顯示您有許可權的主機.
4) 輸入 G/g 顯示您有許可權的主機組.
5) 輸入 G/g + 組ID 顯示該組下主機. 如: g1
6) 輸入 H/h 幫助.
0) 輸入 Q/q 退出.
Opt> p
ID Hostname IP LoginAs Comment
1 3.26 192.168.3.26 [3.16使用者]
2 linux 192.168.3.16 [3.16使用者]
總共: 2 匹配: 2
Opt> 1
Connecting to testsysuser@3.26 0.6
[testsysuser@linux1 ~]$ pwd
/home/testsysuser
[testsysuser@linux1 ~]$ ip add |grep 192.168.1.
inet 192.168.3.26/24 brd 192.168.3.255 scope global ens160
#可以正常用系統使用者來登入客戶端主機了WEB端也可以看到線上的會話
歷史會話
還可以看到具體回放功能,點選回放可檢視登入使用者的操作過程
命令記錄
整體儀表盤
歡迎小夥伴留言評論。如有幫助,歡迎點贊+轉發分享。