精华内容
下载资源
问答
  • K8S容器跳板机,POD自注册,还原传统体验 方便开发调试及线上问题排查 一、部署拓扑 1.全内置: jumpserver无状态 2.Jumpserver外置,可与物理机混合管理,可管理多个K8S集群 二、Modules 1.jumpregister ...
  • 1.通过跳板机连接远程服务器或远程服务器上的容器(关于连接容器方法,参见博客),可以是多个跳板机,多次跳。比如服务器A是我们个人开发用的装有win10的电脑,服务器C只能通过B来连接,那么服务器A要连接C,就要把...

    本文适用于windows系统,linux系统可以适当参考。

    主要包括两方面的内容:

    • 1.通过跳板机连接远程服务器或远程服务器上的容器(关于连接容器方法,参见博客),可以是多个跳板机,多次跳。比如服务器A是我们个人开发用的装有win10的电脑,服务器C只能通过B来连接,那么服务器A要连接C,就要把服务器B作为跳板机;服务器D只能通过服务器C来连接,那么A连接到D就要把C做为跳板机。
    • 2.是通过代理连接远程服务器。有一种场景,我们在办公网内工作,是内网,想要连接外网上的一台服务器,就要通过代理来进行。

    本文前提要为vscode安装remote ssh插件,安装方法简单,不再缀述;另外远程服务器或容器中的ssh服务要开启,具体方法参见连接容器方法的博客。

    一、VScode跳板机配置

    1、 ssh安装

    连接远程服务器需要使用ssh,所以要提前安装好ssh.
    有两种方法,一种是安装git安装包,另一种是安装windows 自带的OpenSSH.git是一个exe安装包,安装简单,这里不缀述,写一下openssh安装方法:
    以管理员身份运行window Powershell,键入以下命令:

    Get-WindowsCapability -Online | ? Name -like 'OpenSSH*'
    

    这条命令是检查是否有合适的openssh可以安装
    显示结果为:
    在这里插入图片描述
    接着进行安装:

    Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
    

    在这里插入图片描述
    如上图,完成安装。

    2、config文件配置

    打开config文件,远程资源管理器->ssh targets->Configure
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述
    配置config文件:

    Host JumpMachine
        # 跳板机的ip地址
        HostName A
        # 你跳板机的用户名
        User username
        # 跳板机登录端口 
        Port 22
    
    Host TargetMachine1
        # 目标机的ip地址
        HostName B
        # 你目标机的用户名
        User username
        # 目标机登录端口 
        Port 8080
        ProxyCommand "openssh的安装路径"\ssh.exe -W %h:%p JumpMachine
    Host TargetMachine2
        # 目标机的ip地址
        HostName B
        # 你目标机的用户名
        User username
        # 目标机登录端口 
        Port 8080
        ProxyCommand "openssh的安装路径"\ssh.exe -W %h:%p TargetMachine1
    

    其中,openssh的安装路径通常是:C:\Windows\System32\OpenSSH\ssh.exe。
    远程连接过程中,会自动安装vscode server,还会要求依次输入跳板机的密码。具体例子如下:
    在这里插入图片描述
    上文中除了最后一个ProxyCommand中的ssh是git的ssh,其它都是Openssh中的ssh.

    二、通过代理连接远程服务器设置方法

    其它内容相同,在配置config文件进行如下配置:

    Host 39.99.155.229
    #目标机ip
    HostName 39.99.155.229
    #登入的用户名,可以不是root
    User root
    Port 22
    #IdentityFile c:\Users\user_name\.ssh\id_rsa
    #下载ncat并解压(无需安装)
    ProxyCommand C:\bin\nmap-7.70\ncat.exe --proxy-type http --proxy xx.xx.x.xxx:xxxx %h %p
    

    xx.xx.x.xxx:xxxx是代理地址的IP和端口号,ncat.exe依据安装位置来决定,我的位置是C:\Program Files (x86)\Nmap\ncat.exe
    nmap下载位置https://download.csdn.net/download/weixin_40586270/10576034

    本文参考:

    • https://zhuanlan.zhihu.com/p/103578899?hmsr=toutiao.io
    • https://zhuanlan.zhihu.com/p/337897010
    • https://download.csdn.net/download/weixin_40586270/10576034
    展开全文
  • Jumpserver跳板机搭建过程

    千次阅读 2018-09-02 22:00:37
    umpserver堡垒机的搭建过程详解 2018年08月24日 17:19:50 阅读数:29更多 ...但跳板机并没有实现对运维人员操作行为的控制,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快...

    umpserver堡垒机的搭建过程详解
    2018年08月24日 17:19:50 阅读数:29更多
    个人分类: 服务搭建
    跳板机 堡垒机有什么区别?

    跳板机

    跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机并没有实现对运维人员操作行为的控制,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。跳板机属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。

    堡垒机

    人们逐渐认识到跳板机的不足,需要更新、更好的安全技术理念来实现运维操作管理,需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下,堡垒机开始以一个独立的产品形态被广泛部署,有效地降低了运维操作风险,使得运维操作管理变得更简单、更安全。

    各企业在选购的时候,除了仔细研究产品技术指标是否可以满足自己的需求外,还应该着重考虑产品的交互性、易用性、性价比、维护成本低、产品自身安全性等等。堡垒机作为单点故障点,自身安全性很重要。对于大数据量的企业,还应该考虑产品可扩展性,毕竟大数据中心的信息系统会越来越复杂。堡垒机是一个统称。在堡垒机这个行业里面,各家公司产品名字不一,有的叫操作风险管理系统、有的叫运维安全审计,有的叫内控安全管理等等。

     

     

    Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。堡垒机的核心是3A, 认证(Authentication), 授权(Authorization) ,审计(Audit), 。堡垒机拥有美观的界面和直观的功能以及简单地安装配置等特色,是步入自动化运维的不二选择。

    支持操作系统:RedHat  Centos  Debian  SUSE  Ubuntu  FreeBSD

    功能特点:完全开源,GPL授权  容易再次开发 

    精确纪录操作命令  支持批量文件上传下载 支持主机搜索登录

    支持批量命令执行 支持Web端批量命令执行  支持录像回放  实时监控

    支持硬件信息如:cpu,内存等抓取   支持系统用户的批量推送 

    支持用户,主机,用户组,主机组,系统用户混合授权

    支持sudo管理 支持命令统计和命令搜索等多种功能

    支持上传下载文件审计 支持终止用户连接 支持各种文件搜索等多种功能。

    测试:http://176.130.3.24   https://jumpserver.tk

    环境:

    (可以克隆一台能访问外网的虚拟机作为测试搭建)

    系统: CentOS  6/ 7

    关闭 selinux 和防火墙

    # CentOS 7

    $ setenforce 0  # 临时关闭,重启后失效

    $ systemctl stop firewalld.service  # 临时关闭,重启后失效

     

    # 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文

    $ localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8

    $ export LC_ALL=zh_CN.UTF-8

    $ echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf

     

    # CentOS6

    $ setenforce 0  # 临时关闭,重启后失效

    $ service iptables stop  # 临时关闭,重启后失效

     

    # 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文

    $ localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8

    $ export LC_ALL=zh_CN.UTF-8

    $ echo 'LANG=zh_CN.UTF-8' > /etc/sysconfig/i18n

     

    一. 准备 Python3 和 Python 虚拟环境

     

    1.1 安装依赖包

     

    $ yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git

    Yum 加速设置请参考 <http://mirrors.163.com/.help/centos.html>

     

    1.2 编译安装

     

    $ wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz

    $ tar xvf Python-3.6.1.tar.xz  && cd Python-3.6.1

    $ ./configure && make && make install

     

    # 这里必须执行编译安装,否则在安装 Python 库依赖时会有麻烦...

    1.3 建立 Python 虚拟环境

     

    因为 CentOS 6/7 自带的是 Python2,而 Yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境

     

    $ cd /opt

    $ python3 -m venv py3

    $ source /opt/py3/bin/activate

     

    # 看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行

    (py3) [root@localhost py3]

    1.4 自动载入 Python 虚拟环境配置

     

    此项仅为防止运行 Jumpserver 时忘记载入 Python 虚拟环境导致程序无法运行。

     

    $ cd /opt

    $ git clone git://github.com/kennethreitz/autoenv.git

    $ echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc

    $ source ~/.bashrc

     

    二. 安装 Jumpserver

     

    2.1 下载或 Clone 项目

     

    项目提交较多 git clone 时较大,你可以选择去 Github 项目页面直接下载zip包。

     

    $ cd /opt/

    $ git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master

    $ echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env  # 进入 jumpserver 目录时将自动载入 python 虚拟环境

     

    # 首次进入 jumpserver 文件夹会有提示,按 y 即可

    # Are you sure you want to allow this? (y/N) y

    2.2 安装依赖 RPM 包

     

    $ cd /opt/jumpserver/requirements

    $ yum -y install $(cat rpm_requirements.txt)  # 如果没有任何报错请继续

    2.3 安装 Python 库依赖

     

    $ pip install -r requirements.txt  # 不要指定-i参数,因为镜像上可能没有最新的包,如果没有任何报错请继续

    Pip 加速设置请参考 <https://segmentfault.com/a/1190000011875306>

     

    2.4 安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke

     yum -y install gcc gcc-c++

    tar -zxf  redis-4.0.8.tar.gz(可以网上下载或第三阶段有redis源码包)

     Make && make  install

    ./utils/install_server.sh //初始化配置

    netstat -utnlp | grep :6379

     

    2.5 安装 MySQL

     

    本教程使用 Mysql 作为数据库,如果不使用 Mysql 可以跳过相关 Mysql 安装和配置

     

    # centos7

    $ yum -y install mariadb mariadb-devel mariadb-server # centos7下安装的是mariadb

    $ systemctl enable mariadb

    $ systemctl start mariadb

     

    # centos6

    $ yum -y install mysql mysql-devel mysql-server

    $ chkconfig mysqld on

    $ service mysqld start

    2.6 创建数据库 Jumpserver 并授权

     

    $ mysql

    > create database jumpserver default charset 'utf8';

    > grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';

    > flush privileges;

    2.7 修改 Jumpserver 配置文件

     

    $ cd /opt/jumpserver

    $ cp config_example.py config.py

    $ vi config.py

     

    # 注意对齐,不要直接复制本文档的内容,实际内容以文件为准,本文仅供参考

    注意: 配置文件是 Python 格式,不要用 TAB,而要用空格

     

    """

        jumpserver.config

        ~~~~~~~~~~~~~~~~~

     

        Jumpserver project setting file

     

        :copyright: (c) 2014-2017 by Jumpserver Team

        :license: GPL v2, see LICENSE for more details.

    """

    import os

     

    BASE_DIR = os.path.dirname(os.path.abspath(__file__))

     

     

    class Config:

        # Use it to encrypt or decrypt data

     

        # Jumpserver 使用 SECRET_KEY 进行加密,请务必修改以下设置

        # SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'

        SECRET_KEY = '请随意输入随机字符串(推荐字符大于等于 50位)'

     

        # Django security setting, if your disable debug model, you should setting that

        ALLOWED_HOSTS = ['*']

     

        # DEBUG 模式 True为开启 False为关闭,默认开启,生产环境推荐关闭

        # 注意:如果设置了DEBUG = False,访问8080端口页面会显示不正常,需要搭建 nginx 代理才可以正常访问

        DEBUG = os.environ.get("DEBUG") or True

     

        # 日志级别,默认为DEBUG,可调整为INFO, WARNING, ERROR, CRITICAL,默认INFO

        LOG_LEVEL = os.environ.get("LOG_LEVEL") or 'WARNING'

        LOG_DIR = os.path.join(BASE_DIR, 'logs')

     

        # 使用的数据库配置,支持sqlite3, mysql, postgres等,默认使用sqlite3

        # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases

     

        # 默认使用SQLite3,如果使用其他数据库请注释下面两行

        # DB_ENGINE = 'sqlite3'

        # DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')

     

        # 如果需要使用mysql或postgres,请取消下面的注释并输入正确的信息,本例使用mysql做演示(mariadb也是mysql)

        DB_ENGINE = os.environ.get("DB_ENGINE") or 'mysql'

        DB_HOST = os.environ.get("DB_HOST") or '127.0.0.1'

        DB_PORT = os.environ.get("DB_PORT") or 3306

        DB_USER = os.environ.get("DB_USER") or 'jumpserver'

        DB_PASSWORD = os.environ.get("DB_PASSWORD") or 'somepassword'

        DB_NAME = os.environ.get("DB_NAME") or 'jumpserver'

     

        # Django 监听的ip和端口,生产环境推荐把0.0.0.0修改成127.0.0.1,这里的意思是允许x.x.x.x访问,127.0.0.1表示仅允许自身访问

        # ./manage.py runserver 127.0.0.1:8080

        HTTP_BIND_HOST = '0.0.0.0'

        HTTP_LISTEN_PORT = 8080

     

        # Redis 相关设置

        REDIS_HOST = os.environ.get("REDIS_HOST") or '127.0.0.1'

        REDIS_PORT = os.environ.get("REDIS_PORT") or 6379

        REDIS_PASSWORD = os.environ.get("REDIS_PASSWORD") or ''

        REDIS_DB_CELERY = os.environ.get('REDIS_DB') or 3

        REDIS_DB_CACHE = os.environ.get('REDIS_DB') or 4

     

        def __init__(self):

            pass

     

        def __getattr__(self, item):

            return None

     

     

    class DevelopmentConfig(Config):

        pass

     

     

    class TestConfig(Config):

        pass

     

     

    class ProductionConfig(Config):

        pass

     

     

    # Default using Config settings, you can write if/else for different env

    config = DevelopmentConfig()

    2.8 生成数据库表结构和初始化数据

     

    $ cd /opt/jumpserver/utils

    $ bash make_migrations.sh

    2.9 运行 Jumpserver

     

    $ cd /opt/jumpserver

    $ ./jms start all  # 后台运行使用 -d 参数./jms start all -d

     

    # 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all  后台运行请添加 -d 参数

    运行不报错,请浏览器访问 http://192.168.5.128:8080/ 默认账号: admin 密码: admin 后面搭建 nginx 代理后请通过代理的端口访问,原因是因为 django 无法在非 debug 模式下加载静态资源

    三. 安装 SSH Server 和 WebSocket Server: Coco

     

    3.1 下载或 Clone 项目

     

    新开一个终端,别忘了 source /opt/py3/bin/activate

     

    $ cd /opt

    $ source /opt/py3/bin/activate

    $ git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master

    $ echo "source /opt/py3/bin/activate" > /opt/coco/.env  # 进入 coco 目录时将自动载入 python 虚拟环境

     

    # 首次进入 coco 文件夹会有提示,按 y 即可

    # Are you sure you want to allow this? (y/N) y

    3.2 安装依赖

     

    $ cd /opt/coco/requirements

    $ yum -y  install $(cat rpm_requirements.txt)

    $ pip install -r requirements.txt

    !!You are using pip version 9.0.1, however version 18.0 is available.

    You should consider upgrading via the 'pip install --upgrade pip' command.

    $  pip install --upgrade pip

     

    3.3 修改配置文件并运行

     

    $ cd /opt/coco

    $ cp conf_example.py conf.py  # 如果 coco 与 jumpserver 分开部署,请手动修改 conf.py

    $ vi conf.py

     

    # 注意对齐,不要直接复制本文档的内容

    注意: 配置文件是 Python 格式,不要用 TAB,而要用空格

     

    #!/usr/bin/env python3

    # -*- coding: utf-8 -*-

    #

     

    import os

     

    BASE_DIR = os.path.dirname(__file__)

     

     

    class Config:

        """

        Coco config file, coco also load config from server update setting below

        """

        # 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复

        # NAME = "localhost"

        NAME = "coco"

     

        # Jumpserver项目的url, api请求注册会使用, 如果Jumpserver没有运行在127.0.0.1:8080,请修改此处

        # CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'

        CORE_HOST = 'http://127.0.0.1:8080'

     

        # 启动时绑定的ip, 默认 0.0.0.0

        # BIND_HOST = '0.0.0.0'

     

        # 监听的SSH端口号, 默认2222

        # SSHD_PORT = 2222

     

        # 监听的HTTP/WS端口号,默认5000

        # HTTPD_PORT = 5000

     

        # 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,

        # 如果有需求, 可以写到配置文件中, 格式 access_key_id:access_key_secret

        # ACCESS_KEY = None

     

        # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中

        # ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')

     

        # 加密密钥

        # SECRET_KEY = None

     

        # 设置日志级别 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']

        # LOG_LEVEL = 'INFO'

        LOG_LEVEL = 'WARN'

     

        # 日志存放的目录

        # LOG_DIR = os.path.join(BASE_DIR, 'logs')

     

        # Session录像存放目录

        # SESSION_DIR = os.path.join(BASE_DIR, 'sessions')

     

        # 资产显示排序方式, ['ip', 'hostname']

        # ASSET_LIST_SORT_BY = 'ip'

     

        # 登录是否支持密码认证

        # PASSWORD_AUTH = True

     

        # 登录是否支持秘钥认证

        # PUBLIC_KEY_AUTH = True

     

        # 和Jumpserver 保持心跳时间间隔

        # HEARTBEAT_INTERVAL = 5

     

        # Admin的名字,出问题会提示给用户

        # ADMINS = ''

        COMMAND_STORAGE = {

            "TYPE": "server"

        }

        REPLAY_STORAGE = {

            "TYPE": "server"

        }

     

     

    config = Config()

    $ ./cocod start  # 后台运行使用 -d 参数./cocod start -d

     

    # 新版本更新了运行脚本,使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数

    启动成功后去Jumpserver 会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受coco的注册

     

    四. 安装 Web Terminal 前端: Luna

     

    Luna 已改为纯前端,需要 Nginx 来运行访问

     

    访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不需要编译

     

    4.1 解压 Luna

     

    $ cd /opt

    $ wget https://github.com/jumpserver/luna/releases/download/1.4.0/luna.tar.gz

    $ tar xvf luna.tar.gz

    $ chown -R root:root luna

    五. 安装 Windows 支持组件(如果不需要管理 windows 资产,可以直接跳过这一步)

     

    因为手动安装 guacamole 组件比较复杂,这里提供打包好的 docker 使用, 启动 guacamole

     

    5.1 Docker安装 (仅针对CentOS7,CentOS6安装Docker相对比较复杂)

     

    $ yum remove docker-latest-logrotate docker-logrotate docker-selinux dockdocker-engine

    $ yum install -y yum-utils device-mapper-persistent-data lvm2

     

    # 添加docker官方源

    $ yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

    $ yum makecache fast

    $ yum install docker-ce

     

     

    # 国内部分用户可能无法连接docker官网提供的源,这里提供阿里云的镜像节点供测试使用

    $ yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

    $ rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg

    $ yum makecache fast

    $ yum -y install docker-ce

     

    $ systemctl start docker

    $ systemctl status docker

    5.2 启动 Guacamole

     

    这里所需要注意的是 guacamole 暴露出来的端口是 8081,若与主机上其他端口冲突请自定义

     

    启动成功后去Jumpserver 会话管理-终端管理(http://192.168.244.144:8080/terminal/terminal/)接受[Gua]开头的一个注册

     

    # 注意:这里需要修改下 http://<填写jumpserver的url地址> 例: http://192.168.244.144, 否则会出错, 带宽有限, 下载时间可能有点长,可以喝杯咖啡,撩撩对面的妹子

    # 不能使用 127.0.0.1 ,可以更换 registry.jumpserver.org/public/guacamole:latest

     

    $ docker run --name jms_guacamole -d \

      -p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \

      -e JUMPSERVER_KEY_DIR=/config/guacamole/key \

      -e JUMPSERVER_SERVER=http://<填写jumpserver的url地址> \

      jumpserver/guacamole:latest

    六. 配置 Nginx 整合各组件

     

    6.1 安装 Nginx 根据喜好选择安装方式和版本

    $ yum -y install  gcc    pcre-devel   openssl-devel

    $ tar -zvxf  nginx-1.12.2.tar.gz(lnmp_soft压缩包内)

    useradd  -s /sbin/nologin  nginx

    cd  nginx-1.12.2/

    ./configure    --user=nginx  --group=nginx  --with-http_ssl_module

    make  && make install 

    ln -s  /usr/local/nginx/sbin/nginx  /sbin

    6.2 准备配置文件 修改 vim  /usr/local/nginx/conf/nginx.conf

     

    内容如下:

     

    $ vim  /usr/local/nginx/conf/nginx.conf

    # CentOS 6 需要修改文件 /etc/nginx/cond.f/default.conf

    # CentOS 7 直接修改主配置文件

    ... 省略

    # 把默认server配置块改成这样,原有的内容请保持不动

     

    server {

        listen 80;  # 代理端口,以后将通过此端口进行访问,不再通过8080端口

     

        client_max_body_size 100m;  # 录像上传大小限制

     

        location /luna/ {

            try_files $uri / /index.html;

            alias /opt/luna/;  # luna 路径,如果修改安装目录,此处需要修改

        }

     

        location /media/ {

            add_header Content-Encoding gzip;

            root /opt/jumpserver/data/;  # 录像位置,如果修改安装目录,此处需要修改

        }

     

        location /static/ {

            root /opt/jumpserver/data/;  # 静态资源,如果修改安装目录,此处需要修改

        }

     

        location /socket.io/ {

            proxy_pass       http://localhost:5000/socket.io/;  # 如果coco安装在别的服务器,请填写它的ip

            proxy_buffering off;

            proxy_http_version 1.1;

            proxy_set_header Upgrade $http_upgrade;

            proxy_set_header Connection "upgrade";

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            access_log off;

        }

     

        location /guacamole/ {

            proxy_pass       http://localhost:8081/;  # 如果guacamole安装在别的服务器,请填写它的ip

            proxy_buffering off;

            proxy_http_version 1.1;

            proxy_set_header Upgrade $http_upgrade;

            proxy_set_header Connection $http_connection;

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            access_log off;

        }

     

        location / {

            proxy_pass http://localhost:8080;  # 如果jumpserver安装在别的服务器,请填写它的ip

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

    }

     

    ... 省略

    6.3 运行 Nginx   

     

    nginx -t   # 检查服务状态 确保配置没有问题, 有问题请先解决

     

    # CentOS 7

    $ nginx -s    reload

     

    # CentOS 6

    $ service nginx start

    $ chkconfig nginx on

    6.4 开始使用 Jumpserver

     

    检查应用是否已经正常运行

     

    $ cd /opt/jumpserver

    $ ./jms status  # 确定jumpserver已经运行,如果没有运行请重新启动jumpserver

    $ cd /opt/coco

    $ ./cocod status  # 确定jumpserver已经运行,如果没有运行请重新启动coco

    # 如果安装了 Guacamole

    $ docker ps  # 检查容器是否已经正常运行,如果没有运行请重新启动Guacamole

    服务全部启动后,访问 http://192.168.244.144,访问nginx代理的端口,不要再通过8080端口访问

    默认账号: admin 密码: admin

    如果部署过程中没有接受应用的注册,需要到Jumpserver 会话管理-终端管理 接受 Coco Guacamole 等应用的注册。

    测试连接

    如果登录客户端是 macOS 或 Linux系统 ,登录语法如下

    $ ssh -p2222 admin@192.168.244.144

    $ sftp -P2222 admin@192.168.244.144

    密码: admin

    如果登录客户端是 Windows系统 ,Xshell Terminal 登录语法如下

    $ ssh admin@192.168.244.144 2222

    $ sftp admin@192.168.244.144 2222

    密码: admin

    如果能登陆代表部署成功

    # sftp默认上传的位置在资产的 /tmp 目录下

    # windows拖拽上传的位置在资产的 Guacamole RDP上的 G 目录下

    展开全文
  • jumpserver跳板机 /堡垒机docker部署 关于跳板机/堡垒机的介绍: 跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。 Jumpserver是一款开源的开源的...

    jumpserver跳板机/堡垒机docker部署

    关于跳板机/堡垒机的介绍:
    跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。
    Jumpserver是一款开源的开源的堡垒机,可使系统的管理员和开发人员安全的连接到企业内部服务器上执行操作,并且支持大部分操作系统,是一款非常安全的远程连接工具。

    1.关闭selinux
    # vim /etc/sysconfig/selinux
    

    在这里插入图片描述

    SELINUX=disabled
    

    在这里插入图片描述

    2.关闭防火墙
    # systemctl stop firewalld
    # systemctl disable firewalld
    

    在这里插入图片描述

    因为已经禁用过防火墙,所以再禁止防火墙启动的这步是没有返回的,实际上第一次禁止的时候是有返回的。

    3.安装docker的源
    # yum install -y wget
    # cd /etc/yum.repos.d/
    # wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
    # wget http://mirrors.aliyun.com/repo/Centos-7.repo
    # yum install -y centos-release-openstack-ocata
    

    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述

    4.配置mariadb
    4.1安装mariadb
    # yum install -y mariadb-server
    

    在这里插入图片描述

    4.2修改配置文件
    #vim /etc/my.cnf
    

    在这里插入图片描述

    [client-server]
    [mysqld]
    symbolic-links=0
    #禁止主机名解析
    skip_name_resolve
    !includedir /etc/my.cnf.d
    

    在这里插入图片描述

    4.3启动服务
    # systemctl start mariadb
    # systemctl enable mariadb
    

    在这里插入图片描述

    4.4创建jumpserver数据库并授权
    # mysql -uroot						//进入数据库
    
    MariaDB [(none)]> create database jumpserver default charset 'utf8';
    #创建管理账号,密码必须是数字加字母
    MariaDB [(none)]> grant all on jumpserver.* to 'jumpserver'@'%' identified by 'linux123';
    

    在这里插入图片描述

    5.配置Redis
    5.1安装Redis
    # yum install -y redis
    

    在这里插入图片描述

    5.2编辑配置文件
    # vim /etc/redis.conf 
    # :setnumber						//显示行号
    
    61:bind 0.0.0.0
    480:requirepass 123
    

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    5.3启动服务
    # systemctl start redis
    # systemctl enable redis
    

    在这里插入图片描述

    6.配置docker
    6.1安装docker(已安装此步忽略)
    #yum install -y docker-ce
    
    6.2启动docker
    # systemctl start docker
    # systemctl enable docker
    

    在这里插入图片描述

    6.3下载jumpserver镜像,并运行
    # 生成随机加密秘钥,建立容器的时候要用
    $ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi
    $ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
    

    在这里插入图片描述

    # docker run --name jms_all -d -v /opt/mysql:/var/lib/mysql -v /opt/jumpserver:/opt/jumpserver/data/media -p 8888:80 -p 2222:2222 -e SECRET_KEY=dL5gQbSWwHhiAktXqYeCkyAzMbJqNtHa1Y9R2NjeFl7j8mzQXu -e BOOTSTRAP_TOKEN=AWHHuSbqkUi4mItZ -e DB_HOST=192.168.0.241  -e DB_PORT=3306  -e DB_USER=jumpserver  -e DB_PASSWORD=linux123 -e DB_NAME=jumpserver  -e REDIS_HOST=192.168.0.241 -e REDIS_PORT=6379 -e REDIS_PASSWORD=123 jumpserver/jms_all:1.4.8
    

    在这里插入图片描述

    上述命令解释
    docker run --name jms_all -d \
    -v /opt/mysql:/var/lib/mysql \
    -v /opt/jumpserver:/opt/jumpserver/data/media \
    -p 8888:80 \ #端口映射
    -p 2222:2222 \
    -e SECRET_KEY=dL5gQbSWwHhiAktXqYeCkyAzMbJqNtHa1Y9R2NjeFl7j8mzQXu \
    -e BOOTSTRAP_TOKEN=AWHHuSbqkUi4mItZ \
    -e DB_HOST=192.168.0.241 \ #当前主机IP
    -e DB_PORT=3306 \
    -e DB_USER=jumpserver \ #数据库用户
    -e DB_PASSWORD=linux123 \ #数据库密码
    -e DB_NAME=jumpserver \ #数据库名称
    -e REDIS_HOST=192.168.0.241 \
    -e REDIS_PORT=6379 \
    -e REDIS_PASSWORD=123 \ #Redis密码
    jumpserver/jms_all:1.4.8

    6.4查看状态
    # docker logs -f jms_all
    

    在这里插入图片描述

    6.5访问测试

    浏览器访问: http://<容器所在服务器IP>:8888
    SSH 访问: ssh -p 2222 <容器所在服务器IP>
    XShell 等工具请添加 connection 连接, 默认 ssh 端口 2222
    默认管理员账户 admin 密码 admin
    在这里插入图片描述

    展开全文
  • 跳板机概述: 跳板机就是一台服务器,开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作 跳板机缺点:没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中...

    跳板机概述:

    跳板机就是一台服务器,开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作

    跳板机缺点:没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人; 


    堡垒机概述:

    堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活劢,以便集中报警、及时处理及审计定责.

     

    Jumpserver 概述:

    Jumpserver 是一款使用Python, Django开发的开源跳板机系统, 为互联网企业提供了认证,授权,审计,自动化运维等功能   官方网址: http://www.jumpserver.org 

    Jumpserver 可以实现的功能:

    1、用户组/用户  :添加组方便迚行授权,用户是授权和登陆的主体

    2、资产组/资产/IDC : 主机信息简洁完整,用户自定义备注登录,支持自动获取主页硬件信息

    3、Sudo/系统用户/授权规则  :支持 sudo 授权,系统用户用于登陆客户端,授权是将用户、资产和系统用户关联起来

    4、在线/登录历史/命令记录/上传下载 : 在线实时监控用户操作,统计和录像回放用户操作内容,阻断控制, 详细记录上传下载

    5、上传/下载 : 支持文件上传下载

    6、默认设置 : 默认管理用户设置包括用户密码密钥,默认信息为了方便添加资产而设计

     

    安装Jumpserver

    系统: CentOS 7

    IP: 192.168.94.22

    关闭 selinux 和防火墙

    [root@jumpserver ~]# setenforce 0
    [root@jumpserver ~]# systemctl stop firewalld.service
    # 修改字符集,否则可能报 input/output error的问题,因为日志里打印了中文
    [root@jumpserver ~]# localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8
    [root@jumpserver ~]# export LC_ALL=zh_CN.UTF-8
    [root@jumpserver ~]# echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf

    准备 Python3 和 Python 虚拟环境

    最新的jumpserver环境依赖于Python3

    安装依赖包

    [root@jumpserver ~]# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
    # 下载python3 编译 安装
    [root@jumpserver ~]# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
    [root@jumpserver Python-3.6.1]# tar xf Python-3.6.1.tar.xz  && cd Python-3.6.1
    [root@jumpserver Python-3.6.1]# ./configure && make && make install
    # 这里必须执行编译安装,否则在安装 Python 库依赖时会有麻烦...

    建立 Python 虚拟环境

    CentOS 7 自带的是 Python2,而 yum 等工具依赖原来的 Python,为了不扰乱原来的环境我们来使用 Python 虚拟环境

    [root@jumpserver Python-3.6.1]# cd /opt
    [root@jumpserver opt]# python3 -m venv py3
    [root@jumpserver opt]# source /opt/py3/bin/activate
    # 看到下面的提示符代表成功,以后运行 Jumpserver 都要先运行以上 source 命令,以下所有命令均在该虚拟环境中运行
    (py3) [root@jumpserver opt]# 

    自动载入 Python 虚拟环境配置

    此项仅为懒癌晚期的人员使用,防止运行 Jumpserver 时忘记载入 Python 虚拟环境导致程序无法运行。使用autoenv

    (py3) [root@jumpserver ~]# cd /opt
    (py3) [root@jumpserver opt]# git clone git://github.com/kennethreitz/autoenv.git
    (py3) [root@jumpserver opt]# echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc
    (py3) [root@jumpserver opt]# source ~/.bashrc

    安装 Jumpserver

    下载或 Clone 项目

    项目提交较多 git clone 时较大,你可以选择去 Github 项目页面直接下载zip包

    (py3) [root@jumpserver opt]# git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master
    (py3) [root@jumpserver jumpserver]# echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env    # 进入 jumpserver 目录时将自动载入 python 虚拟环境
    (py3) [root@jumpserver jumpserver]# cd requirements/
    
    # 首次进入 jumpserver 文件夹会有提示,按 y 即可
    # Are you sure you want to allow this? (y/N) y

     安装依赖 RPM 包

    (py3) [root@jumpserver requirements]# yum -y install $(cat rpm_requirements.txt)
    安装 Python 库依赖
    (py3) [root@jumpserver requirements]# pip install -r requirements.txt

    安装 Redis, Jumpserver 使用 Redis 做 cache 和 celery broke

    (py3) [root@jumpserver requirements]# yum -y install redis
    (py3) [root@jumpserver requirements]# systemctl enable redis
    Created symlink from /etc/systemd/system/multi-user.target.wants/redis.service to /usr/lib/systemd/system/redis.service.
    (py3) [root@jumpserver requirements]# systemctl start redis

    安装 MySQL

    (py3) [root@jumpserver requirements]# yum -y install mariadb mariadb-devel mariadb-server
    (py3) [root@jumpserver requirements]# systemctl enable mariadb
    Created symlink from /etc/systemd/system/multi-user.target.wants/mariadb.service to /usr/lib/systemd/system/mariadb.service.
    (py3) [root@jumpserver requirements]# systemctl start mariadb

    创建数据库 Jumpserver 并授权

    (py3) [root@jumpserver requirements]# mysql
    Welcome to the MariaDB monitor.  Commands end with ; or \g.
    Your MariaDB connection id is 2
    Server version: 5.5.56-MariaDB MariaDB Server
    
    Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.
    
    Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
    
    MariaDB [(none)]> create database jumpserver default charset 'utf8';
    Query OK, 1 row affected (0.00 sec)
    
    MariaDB [(none)]> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword';
    Query OK, 0 rows affected (0.00 sec)
    
    MariaDB [(none)]> flush privileges;
    Query OK, 0 rows affected (0.00 sec)

    修改 Jumpserver 配置文件

    (py3) [root@jumpserver requirements]# cd /opt/jumpserver
    (py3) [root@jumpserver jumpserver]# cp config_example.py config.py
    (py3) [root@jumpserver jumpserver]# vim config.py 
    
    # 注意对其缩进,不要直接复制本文档的内容  
    # 配置文件是 Python 格式,不要用 TAB,而要用空格 内容以实际文件为准 本文仅供参考
    """
        jumpserver.config
        ~~~~~~~~~~~~~~~~~
    
        Jumpserver project setting file
    
        :copyright: (c) 2014-2017 by Jumpserver Team
        :license: GPL v2, see LICENSE for more details.
    """
    import os
    
    BASE_DIR = os.path.dirname(os.path.abspath(__file__))
    
    
    class Config:
        # Use it to encrypt or decrypt data
    
        # Jumpserver 使用 SECRET_KEY 进行加密,请务必修改以下设置
        # SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x'
        SECRET_KEY = '请随意输入随机字符串(推荐字符大于等于 50位)'
    
        # Django security setting, if your disable debug model, you should setting that
        ALLOWED_HOSTS = ['*']
    
        # DEBUG 模式 True为开启 False为关闭,默认开启,生产环境推荐关闭
        # 注意:如果设置了DEBUG = False,访问8080端口页面会显示不正常,需要搭建 nginx 代理才可以正常访问
        DEBUG = os.environ.get("DEBUG") or False
    
        # 日志级别,默认为DEBUG,可调整为INFO, WARNING, ERROR, CRITICAL,默认INFO
        LOG_LEVEL = os.environ.get("LOG_LEVEL") or 'WARNING'
        LOG_DIR = os.path.join(BASE_DIR, 'logs')
    
        # 使用的数据库配置,支持sqlite3, mysql, postgres等,默认使用sqlite3
        # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases
    
        # 默认使用SQLite3,如果使用其他数据库请注释下面两行
        # DB_ENGINE = 'sqlite3'
        # DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3')
    
        # 如果需要使用mysql或postgres,请取消下面的注释并输入正确的信息,本例使用mysql做演示(mariadb也是mysql)
        DB_ENGINE = os.environ.get("DB_ENGINE") or 'mysql'
        DB_HOST = os.environ.get("DB_HOST") or '127.0.0.1'
        DB_PORT = os.environ.get("DB_PORT") or 3306
        DB_USER = os.environ.get("DB_USER") or 'jumpserver'
        DB_PASSWORD = os.environ.get("DB_PASSWORD") or 'somepassword'
        DB_NAME = os.environ.get("DB_NAME") or 'jumpserver'
    
        # Django 监听的ip和端口,生产环境推荐把0.0.0.0修改成127.0.0.1,这里的意思是允许x.x.x.x访问,127.0.0.1表示仅允许自身访问
        # ./manage.py runserver 127.0.0.1:8080
        HTTP_BIND_HOST = '127.0.0.1'
        HTTP_LISTEN_PORT = 8080
    
        # Redis 相关设置
        REDIS_HOST = os.environ.get("REDIS_HOST") or '127.0.0.1'
        REDIS_PORT = os.environ.get("REDIS_PORT") or 6379
        REDIS_PASSWORD = os.environ.get("REDIS_PASSWORD") or ''
        REDIS_DB_CELERY = os.environ.get('REDIS_DB') or 3
        REDIS_DB_CACHE = os.environ.get('REDIS_DB') or 4
    
        def __init__(self):
            pass
    
        def __getattr__(self, item):
            return None
    
    
    class DevelopmentConfig(Config):
        pass
    
    
    class TestConfig(Config):
        pass
    
    
    class ProductionConfig(Config):
        pass
    
    
    # Default using Config settings, you can write if/else for different env
    config = DevelopmentConfig()

    生成数据库表结构和初始化数据

    (py3) [root@jumpserver jumpserver]# cd /opt/jumpserver/utils
    (py3) [root@jumpserver utils]# bash make_migrations.sh

    运行 Jumpserver

    (py3) [root@jumpserver utils]# cd /opt/jumpserver
    (py3) [root@jumpserver jumpserver]# ./jms start all
    # 新版本更新了运行脚本,使用方式./jms start|stop|status|restart all  后台运行请添加 -d 参数

    浏览器访问 http://192.168.94.22:8080/  默认账号: admin 密码: admin 

    页面显示不正常先不用处理 ,后面搭建 nginx 代理就可以正常访问了

     

    安装 SSH Server 和 WebSocket Server: Coco

    新开一个终端,别忘了 source /opt/py3/bin/activate

    [root@DaMoWang ~]# cd /opt
    [root@DaMoWang opt]# source /opt/py3/bin/activate
    (py3) [root@DaMoWang opt]# git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master
    (py3) [root@DaMoWang coco]# echo "source /opt/py3/bin/activate" > /opt/coco/.env    # 进入 coco 目录时将自动载入 python 虚拟环境
    
    # 首次进入 coco 文件夹会有提示,按 y 即可
    # Are you sure you want to allow this? (y/N) y
    
    安装依赖
    (py3) [root@DaMoWang coco]# cd requirements/
    (py3) [root@DaMoWang requirements]# yum -y  install $(cat rpm_requirements.txt)
    (py3) [root@DaMoWang requirements]# pip install -r requirements.txt -i https://pypi.org/simple

    修改配置文件

    (py3) [root@DaMoWang requirements]# cd /opt/coco
    (py3) [root@DaMoWang coco]# cp conf_example.py conf.py
    (py3) [root@DaMoWang coco]# vim conf.py 
    
    
    #!/usr/bin/env python3
    # -*- coding: utf-8 -*-
    #
    
    import os
    
    BASE_DIR = os.path.dirname(__file__)
    
    
    class Config:
        """
        Coco config file, coco also load config from server update setting below
        """
        # 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
        # NAME = "localhost"
        NAME = "coco"
    
        # Jumpserver项目的url, api请求注册会使用, 如果Jumpserver没有运行在127.0.0.1:8080,请修改此处
        # CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080'
        CORE_HOST = 'http://127.0.0.1:8080'
    
        # 启动时绑定的ip, 默认 0.0.0.0
        # BIND_HOST = '0.0.0.0'
    
        # 监听的SSH端口号, 默认2222
        # SSHD_PORT = 2222
    
        # 监听的HTTP/WS端口号,默认5000
        # HTTPD_PORT = 5000
    
        # 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
        # 如果有需求, 可以写到配置文件中, 格式 access_key_id:access_key_secret
        # ACCESS_KEY = None
    
        # ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
        # ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key')
    
        # 加密密钥
        # SECRET_KEY = None
    
        # 设置日志级别 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL']
        # LOG_LEVEL = 'INFO'
        LOG_LEVEL = 'WARN'
    
        # 日志存放的目录
        # LOG_DIR = os.path.join(BASE_DIR, 'logs')
    
        # Session录像存放目录
        # SESSION_DIR = os.path.join(BASE_DIR, 'sessions')
    
        # 资产显示排序方式, ['ip', 'hostname']
        # ASSET_LIST_SORT_BY = 'ip'
    
        # 登录是否支持密码认证
        # PASSWORD_AUTH = True
    
        # 登录是否支持秘钥认证
        # PUBLIC_KEY_AUTH = True
    
        # 和Jumpserver 保持心跳时间间隔
        # HEARTBEAT_INTERVAL = 5
    
        # Admin的名字,出问题会提示给用户
        # ADMINS = ''
        COMMAND_STORAGE = {
            "TYPE": "server"
        }
        REPLAY_STORAGE = {
            "TYPE": "server"
        }
    
    
    config = Config()

    运行coco

    (py3) [root@DaMoWang coco]# ./cocod start -d
    
    # 新版本更新了运行脚本,使用方式./cocod start|stop|status|restart  后台运行请添加 -d 参数

    启动成功后去Jumpserver 会话管理-终端管理(http://192.168.94.22:8080/terminal/terminal/)接受coco的注册,如果页面不正常可以等部署完成后再处理

     

    安装 Web Terminal 前端: Luna

    Luna 已改为纯前端,需要 Nginx 来运行访

    访问(https://github.com/jumpserver/luna/releases)下载对应版本的 release 包,直接解压,不需要编译

    (py3) [root@DaMoWang coco]# cd /opt
    (py3) [root@DaMoWang opt]# wget https://github.com/jumpserver/luna/releases/download/1.3.3/luna.tar.gz
    (py3) [root@DaMoWang opt]# tar xf luna.tar.gz
    (py3) [root@DaMoWang opt]# ll
    总用量 5224
    drwxr-xr-x  4 root root      154 8月   5 21:37 autoenv
    drwxr-xr-x  9 root root      296 8月   5 22:15 coco
    drwxr-xr-x 12 root root      301 8月   5 22:03 jumpserver
    drwxr-xr-x  5  501 games    8192 7月  19 12:27 luna
    -rw-r--r--  1 root root  5335554 7月  19 12:32 luna.tar.gz
    drwxr-xr-x  6 root root      120 8月   5 21:49 py3
    (py3) [root@DaMoWang opt]# chown -R root.root luna

    安装 Windows 支持组件

    如果不需要管理 windows 资产,可以直接跳过这一步

    因为手动安装 guacamole 组件比较复杂,这里提供打包好的 docker 使用, 启动 guacamole

     

    安装Docker

     

    (py3) [root@DaMoWang opt]# yum remove docker-latest-logrotate  docker-logrotate  docker-selinux dockdocker-engine
    (py3) [root@DaMoWang opt]# yum install -y yum-utils   device-mapper-persistent-data   lvm2
    # 添加docker官方源
    (py3) [root@DaMoWang opt]# yum-config-manager     --add-repo     https://download.docker.com/linux/centos/docker-ce.repo
    (py3) [root@DaMoWang opt]# yum makecache fast
    (py3) [root@DaMoWang opt]# yum install docker-ce
    
    # 国内部分用户可能无法连接docker官网提供的源,这里提供阿里云的镜像节点供测试使用
    (py3) [root@DaMoWang opt]# yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
    (py3) [root@DaMoWang opt]# rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg
    (py3) [root@DaMoWang opt]# yum makecache fast
    (py3) [root@DaMoWang opt]# yum -y install docker-ce
    
    (py3) [root@DaMoWang opt]# systemctl start docker
    (py3) [root@DaMoWang opt]# systemctl status docker

     

    启动 Guacamole

    # 注意:这里需要修改下 http://<填写jumpserver的url地址> 例: http://192.168.94.22, 否则会出错
    # 不能使用 127.0.0.1 ,可以更换 registry.jumpserver.org/public/guacamole:latest
    
    (py3) [root@DaMoWang opt]# docker run --name jms_guacamole -d \
      -p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \
      -e JUMPSERVER_KEY_DIR=/config/guacamole/key \
      -e JUMPSERVER_SERVER=http://<填写jumpserver的url地址>:8080 \
      registry.jumpserver.org/public/guacamole:1.0.0

     

    这里所需要注意的是 guacamole 映射出来的端口是 8081,若与主机上其他端口冲突请自定义

    启动成功后去Jumpserver 会话管理-终端管理(http://192.168.94.22:8080/terminal/terminal/)接受[Gua]开头的一个注册,如果页面显示不正常可以等部署完成后再处理

     

     

    配置 Nginx 整合各组件

    安装 Nginx 根据喜好选择安装方式和版本

    (py3) [root@DaMoWang opt]# yum -y install nginx

    准备配置文件 修改 /etc/nginx/nginx.conf

    (py3) [root@DaMoWang opt]# vim /etc/nginx/nginx.conf
    # 把默认server配置块改成这样,原有的内容请保持不动
    
    server {
        listen 80;  # 代理端口,以后将通过此端口进行访问,不再通过8080端口
    
        location /luna/ {
            try_files $uri / /index.html;
            alias /opt/luna/;  # luna 路径,如果修改安装目录,此处需要修改
        }
    
        location /media/ {
            add_header Content-Encoding gzip;
            root /opt/jumpserver/data/;  # 录像位置,如果修改安装目录,此处需要修改
        }
    
        location /static/ {
            root /opt/jumpserver/data/;  # 静态资源,如果修改安装目录,此处需要修改
        }
    
        location /socket.io/ {
            proxy_pass       http://localhost:5000/socket.io/;  # 如果coco安装在别的服务器,请填写它的ip
            proxy_buffering off;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            access_log off;
        }
    
        location /guacamole/ {
            proxy_pass       http://localhost:8081/;  # 如果guacamole安装在别的服务器,请填写它的ip
            proxy_buffering off;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $http_connection;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            access_log off;
            client_max_body_size 100m;  # Windows 文件上传大小限制
        }
    
        location / {
            proxy_pass http://localhost:8080;  # 如果jumpserver安装在别的服务器,请填写它的ip
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }
    (py3) [root@DaMoWang opt]# nginx -t 
    开启nginx服务 
    (py3) [root@DaMoWang opt]# systemctl start nginx
    (py3) [root@DaMoWang opt]# systemctl enable nginx
    Created symlink from
    /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service.

    开始使用 Jumpserve

    检查应用是否已经正常运行

    (py3) [root@DaMoWang opt]# cd jumpserver/
    (py3) [root@DaMoWang jumpserver]# ./jms status    # 确定jumpserver已经运行,如果没有运行请重新启动jumpserver
    gunicorn is running: 18443
    celery is running: 18462
    beat is running: 18465
    (py3) [root@DaMoWang jumpserver]# cd /opt/coco    # 确定jumpserver已经运行,如果没有运行请重新启动coco
    (py3) [root@DaMoWang coco]# ./cocod status
    Coco is running: 18749
    # 如果安装了 Guacamole
    (py3) [root@DaMoWang coco]# docker ps    # 检查容器是否已经正常运行,如果没有运行请重新启动Guacamole
    CONTAINER ID        IMAGE                         COMMAND             CREATED             STATUS              PORTS                    NAMES
    a4572da64996        jumpserver/guacamole:latest   "/init"             10 minutes ago      Up 10 minutes       0.0.0.0:8081->8080/tcp   jms_guacamole

    服务全部启动后,访问 http://192.168.94.22,访问nginx代理的端口,不要再通过8080端口访问

    默认账号: admin 密码: admin

     

    如果部署过程中没有接受应用的注册,需要到Jumpserver 会话管理-终端管理 接受 Coco Guacamole 等应用的注册

     

    退出Python虚拟环境的命令

    (py3) [root@DaMoWang ~]# deactivate
    [root@DaMoWang ~]# 

    测试连接

    (py3) [root@DaMoWang ~]# ssh -p2222 admin@192.168.94.22
    (py3) [root@DaMoWang ~]# sftp -P2222 admin@192.168.94.22
    # 密码 : admin 
    #
    如果能登陆代表部署成功

     

     

     

    转载于:https://www.cnblogs.com/bigdevilking/p/9427941.html

    展开全文
  • 关于跳板机/堡垒机的介绍: 跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作 跳板机使用场景: jumpserver概述 Jumpserver是一款开源的开源的堡垒机,可使...
  • 关于跳板机/堡垒机的介绍: 跳板机可以使开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作 跳板机使用场景 image jumpserver概述 Jumpserver是一款开源的开源的...
  • 搭建开源跳板机 官方文档:https://jumpserver.readthedocs.io/zh/master/ $ yum update -y # 防火墙 与 selinux 设置说明, 如果已经关闭了 防火墙 和 Selinux 的用户请跳过设置 $ systemctl start firewalld $ ...
  • k8s部署jumpserver跳板机系统

    千次阅读 2020-06-09 09:37:32
    随着公司本地测试环境虚出来的服务器越来越多,所以近日用k8s部署了jumpserver跳板机系统来管理这些虚机,主要涉及到4个文件。 1.因为涉及到回放录像需要保存的问题,所以采用nfs来创建pvc声明,挂载到容器中响应的...
  • 通过 Visual Studio Code 的 Remote Development 插件,用户可以 ssh 到服务器中,直接开发服务器上的项目。但在使用过程中,打通跳板机是一个难题。本文将针对上述需求提供一个完整的解决方案。
  • 开源跳板机(堡垒机)Jumpserver V0.3.21.安装docker 脚本安装:curl -sSL https://get.docker.com/ | sh  systemctl start docker systemctl enable docker yum安装: cat >/etc/yum.repos.d/docker.repo ...
  • 容器的IP是不固定的,因此无法像传统服务器在...),另外webterminal访问有一点点卡顿的感觉,没有直接ssh畅快淋漓,因此通过linux跳板ssh访问容器,是一个很有用的补充方案。 效果1 备注:project、app是pod的2...
  • } ##### 容器jumpserver/jms_koko:v2.1.1服务 location /koko/ { proxy_pass http://localhost:5000; proxy_buffering off; proxy_http_version 1.1; proxy_request_buffering off; proxy_set_...
  • 跳板机绑定端口,转发测试内网端口,在跳板机执行(跳板机 IP:192.168.80.119) ssh -CfNg -L 8001:192.168.80.110:8002 root@192.168.80.110 8002 为需要去访问的端口 8001为跳板机开放端口,绑定8002的端口 ...
  • r:刷新 p:打印主机资产 id:(如1、2、3直接登录主机) 3、资产管理(进入跳板机可以管理的主机) 4、给跳板机用户t2,授权主机资产和主机对应的系统用户(系统用户用来登录Linux主机) [root@localhost ~]# useradd ...
  • jumpserver的极速部署以及故障处理 环境:centos7 ;需准备至少8G内存; 一键安装 ...安装完成之后 进入到jumpserver目录下 #cd /opt/jumpserver-installer-v2.6.1 执行 ./jmsctl.sh start (如果报错,需要先启动...
  • 昨天开始决定从网络中搜索部署,aliyum上有堡垒机但是好贵买不起,由此决定找找开源的跳板机。最终发现jumpserver,决心安装调试。  昨天按照jumpserver官方...
  • Docker+VSCode配置属于自己的炼丹炉 (推荐) https://zhuanlan.zhihu.com/p/102385239 万字长文把 VSCode 打造成 C++ 开发利器 https://zhuanlan.zhihu.com/p/96819625 如何让vscode...ssh通过跳板机连接远程服务器 ...
  • 我们是从 客户端 ------ 跳板机 ----- 内网服务器 以下我就以 A B C 来简称 配置允许远程访问 这是前提条件,所以一定要配置,配置方式如下: 进入k8s部署的mysql容器中(mysql命令行): kubectl exec -...
  • CentOS 7 建议在一个纯净的 centos7上进行下面的安装部署 关闭 selinux 和防火墙 [root@jumpserver ~]# setenforce 0 [root@jumpserver ~]# systemctl stop firewalld.service # 修改字符集,否则可能报 input...
  • fi 环境迁移和更新升级请检查 SECRET_KEY 是否与之前设置一致, 不能随机生成, 否则数据库所有加密的字段均无法解密 创建volumes路径: mkdir /opt/{mysql,jumpserver} 运行jumpserver容器 docker run --name ...
  • 容器启动指令 docker run --name jms_all -d \ -v /opt/jumpserver/data:/opt/jumpserver/data \ -p 80:80 \ -p 2222:2222 \ -e SECRET_KEY=xxxxxx \ -e BOOTSTRAP_TOKEN=xxx \ -e DB_HOST=192.168.x.x \ -e DB_...
  • 目的:深度学习不能在本跑吧,丢服务器上,那怎么debug呢??曾经的我全靠print… 下载vscode,安装remote-ssh插件 不详细说了… docker内配置ssh 在目标服务器里开一个docker容器,用-p把容器的端口22转到服务器...
  • 实验室的服务器都只有内网ip 192.168.1.xx,在家里无法直接访问连接,经过师兄的配置,通过另一台服务器47.110.xx.yy可以进行跳板连接 在使用命令行连接到实验室服务器的操作如下: 如果还希望连接服务器中的docker...
  • jumpserver官网 ...进入容器 docker exec -it 0cb8106bcb55 /bin/bash 安装VIM apt-get install vim apt-get update apt-get install vim docker rmi 删除镜像 docker help 帮助
  • 5.3 登录容器编辑jumpserver.conf  [root@docker opt]# docker exec -it 0c2f7dd76174 /bin/sh  /jumpserver # ifconfig  /jumpserver # vi jumpserver.conf  5.4 初始化数据库  /jumpserver # cd install && ...
  • /tmp/demo1.lua 文件上传到服务器的 /tmp/zy/code1.lua sshpass -p "YourPassword" scp -o "StrictHostKeyChecking no" -P 22 "/tmp/demo1.lua" YourUser@YourIP:/tmp/zy/code1.lua 4.2 有跳板机上传 单层跳板机 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,154
精华内容 461
关键字:

容器跳板机