如何使用jumpserver搭建堡壘機的詳細資料說明

首先，jumpserver是什么呢？

Jumpserver 是一款由Python編寫開源的跳板機(堡壘機)系統(tǒng)，實現(xiàn)了跳板機應(yīng)有的功能?；趕sh協(xié)議來管理，客戶端無需安裝agent。

特點：

完全開源，GPL授權(quán) Python編寫，容易再次開發(fā) 實現(xiàn)了跳板機基本功能，認證、授權(quán)、審計 集成了Ansible，批量命令等 支持WebTerminal Bootstrap編寫，界面美觀 自動收集硬件信息 錄像回放 命令搜索 實時監(jiān)控 批量上傳下載

jumpserver 3.0 安裝

相對于 jumpserver 2.0 版本，在新的版本 3.0 中取消了LDAP授權(quán)，取而代之的是ssh進行推送；界面也有所變化，功能更完善，安裝更簡單，不像 2.0 的版本，難住了好多人。下面通過兩臺主機來搭建 jumpserver堡壘機！

Centos 6.5 x86_64 關(guān)閉 iptables，關(guān)閉 selinux jumpserver：192.168.1.200 clients：192.168.1.210 ps：操作只針對 jumpserver，clients 不會進行操作，只是環(huán)境需求。

一、安裝依賴包

yum -y install epel-release yum clean all && yum makecache yum -y update yum -y install git python-pip MySQL-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel

二、下載 jumpserver

cd /opt Git clone https://github.com/jumpserver/jumpserver.git 注： 如果下載失敗，則去github上面下載zip包，unzip解壓縮即可

三、執(zhí)行快速安裝腳本

cd /opt/jumpserver/install

pip install -r requirement.txt

查看安裝的包 pip freeze

python install.py 輸入jumpserver的地址，默認為：”192.168.1.200”，回車即可。 是否安裝MySQL：選擇”y”進行安裝

MySQL 啟動后會要求用戶輸入 郵件服務(wù)器及賬戶（后期用來發(fā)送用戶名、ssh pass、web pass、ssh key）

163郵箱用授權(quán)密碼，而不是登入密碼 ，切記 。

輸入smtp信息之后發(fā)現(xiàn)報錯了，是python的pycrypto模塊問題，需要卸載重裝： pip uninstall pycrypto easy_install pycrypto

安裝之后繼續(xù) python install.py 進行安裝，并且輸入 web管理員用戶名和管理員密碼，ok

運行 crontab，定期處理失效連接，定期更新資產(chǎn)信息 cd /opt/jumpserver python manage.py crontab add

注： 1）根據(jù)提示輸入相關(guān)信息，完成安裝，安裝完成后，請訪問web，繼續(xù)查看后續(xù)文檔 2）如果啟動失敗，請返回上層目錄，手動運行 ./service.sh start 啟動 3）如果 ./service.sh start 啟動失敗 cd /opt/jumpserver python manage.py runserver 0.0.0.0:80 python run_websocket.py 4）如果啟動失敗，可能是由于80端口和3000端口已經(jīng)被占用，或者數(shù)據(jù)庫賬號密碼不對，請檢查

五、Web登錄

http://192.168.1.200

注意： 在使用jumpserver過程中，有一步是系統(tǒng)用戶推送，要推送成功，client（后端服務(wù)器）要滿足以下條件： 1）后端服務(wù)器需要有python、sudo環(huán)境才能使用推送用戶，批量命令等功能 2）后端服務(wù)器如果開啟了selinux，請安裝libselinux-python

六、更新代碼

cd /opt/jumpserver git pull

環(huán)境搭建到這一步就結(jié)束啦~

下面開始要仔細看咯

一、用戶管理

1）添加用戶

點擊用戶管理 —> 查看用戶 —> 添加用戶

輸入要添加的用戶名，姓名，權(quán)限，Mail，并且發(fā)送郵件 —> 保存

查看添加的用戶

查看用戶郵件 郵件中包含了用戶名，權(quán)限，web密碼，ssh 密鑰密碼，以及密鑰下載地址。

2）添加用戶組

點擊用戶管理 —> 查看用戶組 —> 添加用戶組

添加新的小組 —> 運維小組

查看剛才添加的組

二、資產(chǎn)管理

1）添加資產(chǎn)組

點擊資產(chǎn)管理 —> 查看資產(chǎn)組 —> 添加主機組

輸入組名稱，并且輸入描述組用途

2）添加資產(chǎn)

點擊資產(chǎn)管理 —> 查看資產(chǎn) —> 添加資產(chǎn)

輸入主機名，主機IP，管理用戶名（管理員用戶，主機中必須存在的哦~ 可以是root），端口，資產(chǎn)組 —> 提交保存

3）添加機房

點擊資產(chǎn)管理 —> 查看機房 —> 添加機房

輸入機房名稱，其他的可以選填 —> 保存

三、權(quán)限管理

1）sudo

點擊權(quán)限管理 —> sudo —> 添加別名

輸入別名，系統(tǒng)命令，備注 —> 點擊保存

2）添加系統(tǒng)用戶

點擊授權(quán)管理 —> 系統(tǒng)用戶 —> 添加系統(tǒng)用戶

輸入用戶名，密碼，管理的sudo及備注 —> 單擊保存

創(chuàng)建好系統(tǒng)之后，單擊推送，將用戶名、密碼、sudo的信息推送到服務(wù)器。

選擇系統(tǒng)用戶，資產(chǎn)組 —> 單擊保存

推送成功

3）授權(quán)規(guī)則

點擊授權(quán)管理 —> 授權(quán)規(guī)則 —> 添加規(guī)則

輸入授權(quán)名稱，用戶/用戶組，資產(chǎn)/資產(chǎn)組，系統(tǒng)用戶，備注 —> 單擊保存

四、登錄

這時候創(chuàng)建已經(jīng)完成，下一步用戶”hongxue”通過web和密鑰登錄堡壘機 192.168.1.200，并實現(xiàn)跳轉(zhuǎn)到服務(wù)器 192.168.1.210

1）通過web登錄 可以看到用戶ID，用戶名，權(quán)限，key，最后登錄，用戶組，授權(quán)主機數(shù)，以及主機信息。

單擊查看主機 —> 連接

連接成功，可以對該主機進行操作。

2）通過ssh登錄

通過郵件中收到的地址，下載key

點擊工具 —> 用戶密鑰管理者

單擊導入 —> 輸入用戶名，密碼

連接 jumpserver 堡壘機 192.168.1.200，輸入密鑰密碼進行登錄

登錄成功??！ 從授權(quán)的列表中連接到服務(wù)器 192.168.1.210

?。榱税踩ㄗh配置nginx 反向代理 jumpserver

log_format jumpserver '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$request_time" $request_body "$http_referer" "$http_user_agent" "$http_x_forwarded_for" $scheme $http_host';

server {

listen 8080 ssl;

listen 80;

deny all;

server_name jumpserver.xxxx.com;

index index.html index.htm index.PHP;

ssl_certificate ssl/xxxx.com.crt;

ssl_certificate_key ssl/xxxx.com.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

if ( $scheme = http ) {

rewrite ^(.*)$ https://$host:8090$request_uri? permanent;

}

location / {

proxy_set_header Connection "";

proxy_http_version 1.1;

proxy_pass http://10.43.12.31:8090;

}

location ^~ /ws/ {

proxy_pass http://10.43.12.31:8090/ws/;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "upgrade";

}

access_log /data0/logs/jumpserver.log jumpserver;

error_log /data0/logs/jumpserver_error.log debug;

}

Linux云計算及運維架構(gòu)師高薪實戰(zhàn)班“2018年12月10日即將開課中，120天沖擊Linux運維年薪30萬，改變速約~~~~

*聲明：推送內(nèi)容及圖片來源于網(wǎng)絡(luò)，部分內(nèi)容會有所改動，版權(quán)歸原作者所有，如來源信息有誤或侵犯權(quán)益，請聯(lián)系我們刪除或授權(quán)事宜。

- 結(jié)束 -