手把手從0開始教你搭建Jumpserver,為伺服器安全保駕護航!

民工哥發表於2020-05-20

1、Jumpserver簡單介紹

Jumpserver 是全球首款完全開源的堡壘機,使用 GNU GPL v2.0 開源協議,是符合 4A 的專業運維審計系統。Jumpserver 使用 Python / Django 進行開發,遵循 Web 2.0 規範,配備了業界領先的 Web Terminal 解決方案,互動介面美觀、使用者體驗好。
Jumpserver 採納分散式架構,支援多機房跨區域部署,中心節點提供 API,各機房部署登入節點,可橫向擴充套件、無併發訪問限制。

2、架構圖如下

3、元件說明

  • Jumpserver
    現指 Jumpserver 管理後臺,是核心元件(Core), 使用 Django Class Based View 風格開發,支援 Restful API。
  • Coco
    實現了 SSH Server 和 Web Terminal Server 的元件,提供 SSH 和 WebSocket 介面, 使用 Paramiko 和 Flask 開發。
  • Luna
    現在是 Web Terminal 前端,計劃前端頁面都由該專案提供,Jumpserver 只提供 API,不再負責後臺渲染html等。
  • Guacamole
    Apache 跳板機專案,Jumpserver 使用其元件實現 RDP 功能,Jumpserver 並沒有修改其程式碼而是新增了額外的外掛,支援 Jumpserver 呼叫。
  • Jumpserver-Python-SDK
    Jumpserver API Python SDK,Coco 目前使用該 SDK 與 Jumpserver API 互動。
參考文章:http://docs.jumpserver.org/zh..._instruction.html

4、安裝環境準備

系統環境說明
[root@test ~]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core) 
[root@test ~]# uname -r
3.10.0-693.el7.x86_64
[root@test ~]# ip add|grep 192.168.22    
inet 192.168.22.175/24 brd 192.168.22.255 scope global ens32
關閉防火牆與selinux
[root@test ~]# systemctl stop firewalld
[root@test ~]# systemctl disable firewalld
[root@test ~]# sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
[root@master ~]# grep "SELINUX=" /etc/selinux/config 
# SELINUX= can take one of these three values:
SELINUX=disabled
[root@test ~]# reboot

準備 Python3 和 Python 虛擬環境

安裝依賴包
[root@test ~]# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
編譯安裝python
[root@test ~]# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
[root@test ~]# tar xf Python-3.6.1.tar.xz
[root@test ~]# cd Python-3.6.1
[root@test Python-3.6.1]# ./configure
[root@test Python-3.6.1]# echo $?
0
[root@test Python-3.6.1]# make && make install
-------------------過程部分省略
fi
Collecting setuptools
Collecting pip
Installing collected packages: setuptools, pip
Successfully installed pip-9.0.1 setuptools-28.8.0
[root@test Python-3.6.1]# echo $?
0
建立 Python 虛擬環境

因為 CentOS 6/7 自帶的是 Python2,而 Yum 等工具依賴原來的 Python,為了不擾亂原來的環境我們來使用 Python 虛擬環境

[root@test Python-3.6.1]# cd /opt/
[root@test opt]# python3 -m  venv py3
[root@test opt]# source /opt/py3/bin/activate(py3) [root@test opt]#
# 看到上面的提示符代表成功,以後執行 Jumpserver 都要先執行以上 source 命令,以下所有命令均在該虛擬環境中執行(py3) 
[root@localhost py3]

5、安裝jumpserver

(py3) [root@test opt]# pwd
/opt
(py3) [root@test opt]# git clone --depth=1 https://github.com/jumpserver/jumpserver.git
Cloning into 'jumpserver'...
remote: Counting objects: 718, done.
remote: Compressing objects: 100% (652/652), done.
remote: Total 718 (delta 95), reused 380 (delta 22), pack-reused 0
Receiving objects: 100% (718/718), 5.31 MiB | 440.00 KiB/s, done.
Resolving deltas: 100% (95/95), done.
(py3) [root@test opt]# cd jumpserver/
(py3) [root@test jumpserver]# git checkout master
Already on 'master'
安裝依賴 RPM 包
(py3) [root@test jumpserver]# cd /opt/jumpserver/requirements/
(py3) [root@test requirements]# yum -y install $(cat rpm_requirements.txt)
#無任何報錯即可完成
安裝 Python 庫依賴
(py3) [root@test requirements]# pip install -r requirements.txt
#這裡官方比較坑,說不要指定源,不指定源根本裝不了,可根據實際情況指定相關的新pip源進行安裝,實在安裝不了的,下載原始碼包手工安裝。
安裝 Redis
Jumpserver 使用 Redis 做 cache 和 celery broke
(py3) [root@master opt]# yum -y install redis
(py3) [root@master opt]# service redis start
Redirecting to /bin/systemctl start redis.service
(py3) [root@master opt]# lsof -i :6379
COMMAND     PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
redis-ser 22530 redis    4u  IPv4  71615      0t0  TCP localhost:6379 (LISTEN)
安裝 MySQL

這裡直接使用二進位制安裝包安裝,具體可參考之前的文章

LAMP架構應用實戰MySQL服務安裝

(py3) [root@master opt]# /etc/init.d/mysqld start
Starting MySQL SUCCESS!
(py3) [root@master opt]# lsof -i :3306
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
mysqld  23081 mysql   17u  IPv6  73467      0t0  TCP *:mysql (LISTEN)
建立資料庫 Jumpserver 並授權
(py3) [root@master opt]# mysql -uroot -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or g.
Your MySQL connection id is 4
Server version: 5.7.17 MySQL Community Server (GPL)

Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]> create database jumpserver default charset 'utf8';
Query OK, 1 row affected (0.00 sec)

MySQL [(none)]> grant all on jumpserver.* to 'jumpserver'@'localhost' identified by '123456';
Query OK, 0 rows affected, 1 warning (0.00 sec)

MySQL [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
修改 Jumpserver 配置檔案
(py3) [root@master opt]# cd /opt/jumpserver/
(py3) [root@master jumpserver]# cp config_example.py config.py
(py3) [root@master jumpserver]# vim config.py
--------------------
# Default using Config settings, you can write if/else for different env

class DevelopmentConfig(Config):    
DEBUG = True    
DB_ENGINE = 'mysql'    
DB_HOST = '127.0.0.1'    
DB_PORT = 3306    
DB_USER = 'jumpserver'    
DB_PASSWORD = '123456'    
DB_NAME = 'jumpserver'config = DevelopmentConfig()
#增加上面的內容
生成資料庫表結構和初始化資料
(py3) [root@master jumpserver]# cd /opt/jumpserver/utils/
(py3) [root@master utils]# bash make_migrations.sh
2018-05-09 13:51:48 [signals_handler DEBUG] Receive django ready signal
2018-05-09 13:51:48 [signals_handler DEBUG]   - fresh all settings
Migrations for 'assets': 
/opt/jumpserver/apps/assets/migrations/0002_auto_20180509_1351.py
--------------------中間省略
Running migrations:  
Applying assets.0001_initial... OK  
Applying assets.0002_auto_20180509_1351... OK  
Applying audits.0001_initial... OK  
Applying contenttypes.0001_initial... OK  
Applying contenttypes.0002_remove_content_type_name... OK 
Applying auth.0001_initial... OK  
Applying auth.0002_alter_permission_name_max_length... OK 
Applying auth.0003_alter_user_email_max_length... OK 
Applying auth.0004_alter_user_username_opts... OK  
Applying auth.0005_alter_user_last_login_null... OK 
Applying auth.0006_require_contenttypes_0002... OK 
Applying auth.0007_alter_validators_add_error_messages... OK  
Applying auth.0008_alter_user_username_max_length... OK 
Applying captcha.0001_initial... OK  
Applying common.0001_initial... OK  
Applying django_celery_beat.0001_initial... OK  
Applying django_celery_beat.0002_auto_20161118_0346... OK
Applying django_celery_beat.0003_auto_20161209_0049... OK 
Applying django_celery_beat.0004_auto_20170221_0000... OK
Applying django_celery_beat.0005_add_solarschedule_events_choices... OK  
Applying django_celery_beat.0006_auto_20180210_1226... OK
Applying ops.0001_initial... OK  
Applying ops.0002_celerytask... OK  
Applying users.0001_initial... OK  
Applying users.0002_auto_20171225_1157... OK  
Applying users.0003_auto_20180509_1351... OK  
Applying perms.0001_initial... OK  
Applying perms.0002_auto_20180509_1351... OK  
Applying sessions.0001_initial... OK  
Applying terminal.0001_initial... OK  
Applying terminal.0002_auto_20180509_1351... OK
執行jumpserver
(py3) [root@master utils]# cd  /opt/jumpserver/
(py3) [root@master jumpserver]# python run_server.py all
Wed May  9 13:53:15 2018
Jumpserver version 1.3.0, more see https://www.jumpserver.org

- Start Gunicorn WSGI HTTP Server
Check database structure change ...
2018-05-09 13:53:17 [signals_handler DEBUG] Receive django ready signal
2018-05-09 13:53:17 [signals_handler DEBUG]   - fresh all settings
---------------
Task terminal.tasks.clean_orphan_session[eb960461-07a0-4b42-a5bb-96fdd94fabcd] succeeded in 0.11468194000190124s: None

執行之後沒有報錯資訊,就可以使用瀏覽器訪問了http://server_ip:8080

預設使用者名稱/密碼:admin/admin此時執行的只是jumpserver的WEB端,如果需要訪問訪問 Web Terminal 會報錯如下

安裝 SSH Server 和 WebSocket Server: Coco

新開啟一個 SSH終端連線去安裝

下載專案檔案
[root@master ~]# source /opt/py3/bin/activate
(py3) [root@master ~]# cd /opt/
(py3) [root@master opt]# git clone https://github.com/jumpserver/coco.git
Cloning into 'coco'...
remote: Counting objects: 1276, done.
remote: Total 1276 (delta 0), reused 0 (delta 0), pack-reused 1276
Receiving objects: 100% (1276/1276), 272.18 KiB | 39.00 KiB/s, done.
Resolving deltas: 100% (901/901), done.
(py3) [root@master opt]# cd coco && git checkout master
Already on 'master'
安裝依賴
(py3) [root@master coco]# cd /opt/coco/requirements/
(py3) [root@master requirements]# yum -y  install $(cat rpm_requirements.txt)
(py3) [root@master requirements]# pip install -r requirements.txt
(py3) [root@master requirements]# echo $?
0
(py3) [root@master requirements]# cd /opt/coco/
(py3) [root@master coco]# cp conf_example.py conf.py
(py3) [root@master coco]# python run_server.py
Start coco process
2018-05-09 14:19:44 [service DEBUG] Initial app service
2018-05-09 14:19:44 [service DEBUG] Load access key
2018-05-09 14:19:44 [service INFO] No access key found, register it
2018-05-09 14:19:44 [service INFO] "Terminal was not accepted yet"
2018-05-09 14:19:48 [service INFO] "Terminal was not accepted yet"
#此時需要去WEB管理後臺確認註冊資訊

點選確認之後會出現下面的提示

2018-05-09 14:21:23 [service DEBUG] Set app service auth: 9f13a90b-80e4-47ae-b0ad-d825cff70ff0  
2018-05-09 14:21:23 [service DEBUG] Service http auth: <jms.auth.AccessKeyAuth object at 0x7f5d1b18de10>  
2018-05-09 14:21:23 [app DEBUG] Loading config from server: {"COMMAND_STORAGE": {"TYPE": "server"}, "REPLAY\_STORAGE": {"TYPE": "server"}}  
Wed May 9 14:21:23 2018  
Coco version 1.3.0, more see https://www.jumpserver.org  
Quit the server with CONTROL-C.  
Starting ssh server at 0.0.0.0:2222  
WebSocket transport not available. Install eventlet or gevent and gevent-websocket for improved performance.  
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)  
#出現上面的提示表示成功
測試連線
[root@testLinux1 ~]# ssh -p2222 admin@192.168.3.82  
The authenticity of host '[192.168.3.82]:2222 ([192.168.3.82]:2222)' can't be established.  
RSA key fingerprint is SHA256:Dw9BcxNFFZtgc1EpavxUeamzKT1VoX6UAPNIyzaEhpw.  
RSA key fingerprint is MD5:16:d8:05:5e:12:9d:e5:54:ee:96:97:21:ab:33:2c:7e.  
Are you sure you want to continue connecting (yes/no)? yes  
Warning: Permanently added '[192.168.3.82]:2222' (RSA) to the list of known hosts.  
admin@192.168.3.82's password:  
 Administrator, 歡迎使用Jumpserver開源跳板機系統   
 1) 輸入 ID 直接登入 或 輸入部分 IP,主機名,備註 進行搜尋登入(如果唯一).  
 2) 輸入 / + IP, 主機名 or 備註 搜尋. 如: /ip  
 3) 輸入 P/p 顯示您有許可權的主機.  
 4) 輸入 G/g 顯示您有許可權的主機組.  
 5) 輸入 G/g + 組ID 顯示該組下主機. 如: g1  
 6) 輸入 H/h 幫助.  
 0) 輸入 Q/q 退出.  
Opt>  
#能成功登入的表示安裝部署成功

安裝 Web Terminal 前端: Luna

Luna 已改為純前端,需要 Nginx 來執行訪問,訪問(https://github.com/jumpserver...)下載對應版本的 release 包,直接解壓,不需要編譯。

(py3) [root@master opt]# docker run --name jms_guacamole -d \
-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \
-e JUMPSERVER_KEY_DIR=/config/guacamole/key \
-e JUMPSERVER_SERVER=http://192.168.3.82:8080 \
registry.jumpserver.org/public/guacamole:1.0.0
Unable to find image 'registry.jumpserver.org/public/guacamole:1.0.0' locally
Trying to pull repository registry.jumpserver.org/public/guacamole ... 
1.0.0: Pulling from registry.jumpserver.org/public/guacamole
723254a2c089: Pull complete 
abe15a44e12f: Pull complete 
409a28e3cc3d: Pull complete 
a9511c68044a: Pull complete 
9d1b16e30bc8: Pull complete 
0fc5a09c9242: Pull complete 
d34976006493: Pull complete 
3b70003f0c10: Pull complete 
bc7887582e2e: Pull complete 
d2ab4f165865: Pull complete 
3882b23577d6: Pull complete 
9f8b758ebfa6: Pull complete 
ef5d2d838878: Pull complete 
310fa32446d6: Pull complete 
a23204f32cd2: Pull complete 
f3cba08c8ef8: Pull complete 
59073672f2e3: Pull complete 
86d50039bf5c: Pull complete 
7041bb4312f0: Pull complete 
ca5c931789c9: Pull complete 
cef49dddf00f: Pull complete 
3535ea408862: Pull complete 
2dd70d9a46ce: Pull complete Digest: 

sha256:ea862bb2e83b648701655c27900bca14b0ab7ab9d4572e716c25a816dc55307b
Status: Downloaded newer image for registry.jumpserver.org/public/guacamole:1.0.038910abc050cea50fa03acc913e4916f17726820de9d6a1274f6e37a9131ba31
#然後去後臺接受註冊資訊

需要注意的是修改預設IP如下圖

配置 Nginx 整合各元件

(py3) [root@master opt]# yum install nginx -y
(py3) [root@master opt]# cd /etc/nginx/
(py3) [root@master nginx]# cp nginx.conf nginx.conf.bak
(py3) [root@master nginx]# vim nginx.conf
server {    
listen 80;    
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;    
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    

location /luna/ {        
try_files $uri / /index.html;        
alias /opt/luna/;    
}    

location /media/ {        
add_header Content-Encoding gzip;        
root /opt/jumpserver/data/;    
}   

location /static/ {       
root /opt/jumpserver/data/;    
}   

location /socket.io/ {        
proxy_pass       http://localhost:5000/socket.io/;
proxy_buffering off;        
proxy_http_version 1.1;        
proxy_set_header Upgrade $http_upgrade;    
proxy_set_header Connection "upgrade";   
}  

location /guacamole/ {        
proxy_pass       http://localhost:8081/;
proxy_buffering off;        
proxy_http_version 1.1;        
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        
proxy_set_header Upgrade $http_upgrade; 
proxy_set_header Connection $http_connection; 
access_log off;    
}   

location / {        
proxy_pass http://localhost:8080;  
}
}
}

(py3) [root@master nginx]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
(py3) [root@master nginx]# nginx
(py3) [root@master nginx]# lsof -i :80
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nginx   24269  root    6u  IPv4 100705      0t0  TCP *:http (LISTEN)
nginx   24270 nginx    6u  IPv4 100705      0t0  TCP *:http (LISTEN)

最後通過nginx直接訪問如下

簡單使用配置

系統幾個使用者的區別

  • 使用者:是指你在web上建立的使用者,會在跳板機上建立這個使用者,作用就是用於登入跳板機,另外使用者分為普通使用者和超級管理員,後者可以審計檢視使用者登陸記錄、命令歷史等
  • 管理使用者:是指客戶端上的如root等高許可權賬號(或普通使用者擁有NOPASSWD: ALL sudo許可權), 作用用於推送系統使用者,注意是已經在客戶端使用者上存在的使用者。
  • 系統使用者:是指要在客戶端上建立這個系統使用者,通過推送來實現,作用就是登入客戶端。

管理使用者和系統使用者的關係:

  • 兩者都是客戶端上的使用者,後者涉及到一個推送動作
  • 比如推送test系統使用者,也就是在客戶端上建立test使用者,那麼建立使用者需要有許可權
  • 有沒有許可權建立就要看你是用客戶端的root使用者還是普通使用者做為管理使用者
  • 如果後者做為管理使用者就需要新增sudo許可權又是NOPASSWD: ALL

新增使用者組

新增使用者
這個使用者是用於登入jumpsesrver的使用者,與後面的管理使用者、系統使用者沒有關聯

新增完成

建立管理使用者
這個使用者必須具備客戶端管理許可權,否則後面會有問題,這裡我以管理使用者為例建立

新增系統使用者
系統使用者是Jumpserver跳轉登入資產時使用的使用者,可以理解為登入資產使用者,如 web, sa, dba(ssh web@some-host), 而不是使用某個使用者的使用者名稱跳轉登入伺服器(ssh xiaoming@some-host); 簡單來說是 使用者使用自己的使用者名稱登入Jumpserver, Jumpserver使用系統使用者登入資產。 系統使用者建立時,如果選擇了自動推送 Jumpserver會使用ansible自動推送系統使用者到資產中,如果資產(交換機、windows)不支援ansible, 請手動填寫賬號密碼。 目前還不支援Windows的自動推送.
注:這個系統在建立時,是可以配置sudo許可權的

建立資產

建立完成後,可以在下面的介面測試連線性
點選更新硬體資訊

點選測試可連線性

表示正常連線,返回資產列表如下圖

測試登入效果

[root@test ~]# ssh -p2222 jumpserver@192.168.3.82  
jumpserver@192.168.3.82's password:  
  
 登入到jumpserver, 歡迎使用Jumpserver開源跳板機系統   
  
 1) 輸入 ID 直接登入 或 輸入部分 IP,主機名,備註 進行搜尋登入(如果唯一).  
 2) 輸入 / + IP, 主機名 or 備註 搜尋. 如: /ip  
 3) 輸入 P/p 顯示您有許可權的主機.  
 4) 輸入 G/g 顯示您有許可權的主機組.  
 5) 輸入 G/g + 組ID 顯示該組下主機. 如: g1  
 6) 輸入 H/h 幫助.  
 0) 輸入 Q/q 退出.  
  
Opt> p  
  
ID Hostname        IP              LoginAs  Comment   
 1 3.26 192.168.3.26 [3.16使用者]  
 2 linux 192.168.3.16 [3.16使用者]  
  
總共: 2 匹配: 2  
Opt> 1  
Connecting to testsysuser@3.26 0.6  
[testsysuser@linux1 ~]$ pwd  
/home/testsysuser  
[testsysuser@linux1 ~]$ ip add |grep 192.168.1.  
inet 192.168.3.26/24 brd 192.168.3.255 scope global ens160  
#可以正常用系統使用者來登入客戶端主機了

WEB端也可以看到線上的會話

歷史會話

還可以看到具體回放功能,點選回放可檢視登入使用者的操作過程

命令記錄

整體儀表盤

歡迎小夥伴留言評論。如有幫助,歡迎點贊+轉發分享。

相關文章