1.Jumpserver简介

JumpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。

JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。

JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。

JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。

更多详细信息,请参考官方地址:https://docs.jumpserver.org/zh/master/

1.特色优势

  • 开源: 零门槛,线上快速获取和安装;
  • 分布式: 轻松支持大规模并发访问;
  • 无插件: 仅需浏览器,极致的 Web Terminal 使用体验;
  • 多云支持: 一套系统,同时管理不同云上面的资产;
  • 云端存储: 审计录像云端存储,永不丢失;
  • 多租户: 一套系统,多个子公司和部门同时使用。


2.功能列表

 

2.JumpServer的部署

我这里按照容器化的方式进行部署演示,其他部署方式可以参考官方文档https://docs.jumpserver.org/zh/master/install/docker_install/

jumpserver容器化部署,主要分为三个部分,mysql数据库的容器化部署,redis的容器化部署,jumpserver容器的启动。为了更好的部署,保证数据的安全和服务的性能,一般建议就是mysql,redis,jumpserver分开部署,不部署在一台机器上。我这里为了演示方便,就把三个服务部署到一台机器上,其实我选择容器化部署的原因就是,可以在一台服务器进行部署,互不影响,jumpserver镜像集成了所需要的组件, 支持使用外置 Database 和 Redis。不用像非容器化部署一样,还需要安装一堆依赖组件。

1.环境要求

硬件配置: 2个CPU核心, 4G 内存, 50G 硬盘(最低)
操作系统: Linux 发行版 x86_64

Python = 3.6.x
Mysql Server ≥ 5.6
Mariadb Server ≥ 5.5.56
Redis
提前在服务器上安装好docker环境,可以参考我的其他文章,这里就不介绍了。

2.部署mysql容器服务

#从上面的环境要求我们看出,jumpserver依赖的外置数据库服务有版本要求,我们这里从官方容器仓库中直接拉取mysql5.7版本的镜像。
[root@jumpserver-no ~]# docker pull mysql:5.7 #我们在宿主机上准备好mysql的配置文件和数据存放目录,后面mysql容器启动的时候直接挂载宿主机目录,使数据保存在宿主机,实现数据和容器的分离,
可以在容器运行异常时,可以再启动一个新的容器直接使用宿主机的数据,从而保证业务的正常运行
[root@jumpserver
-no ~]# mkdir /iflytek/mysql/mysql.conf.d -pv [root@jumpserver-no ~]# mkdir /iflytek/mysql/conf.d -p [root@jumpserver-no ~]# mkdir /iflytek/mysql/data [root@jumpserver-no mysql]# cat /iflytek/mysql/mysql.conf.d/mysqld.cnf # Copyright (c) 2014, 2016, Oracle and/or its affiliates. All rights reserved. # # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License, version 2.0, # as published by the Free Software Foundation. # # This program is also distributed with certain software (including # but not limited to OpenSSL) that is licensed under separate terms, # as designated in a particular file or component or in included license # documentation. The authors of MySQL hereby grant you an additional # permission to link the program and your derivative works with the # separately licensed software that they have included with MySQL. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License, version 2.0, for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA # # The MySQL Server configuration file. # # For explanations see # http://dev.mysql.com/doc/mysql/en/server-system-variables.html [mysqld] pid-file = /var/run/mysqld/mysqld.pid socket = /var/run/mysqld/mysqld.sock datadir = /var/lib/mysql #log-error = /var/log/mysql/error.log # By default we only accept connections from localhost #bind-address = 127.0.0.1 # Disabling symbolic-links is recommended to prevent assorted security risks symbolic-links=0 [root@jumpserver-no mysql]# cat /iflytek/mysql/conf.d/mysql.cnf [mysql] default-character-set=utf8 #启动Mysql容器,挂载上面准备好的配置文件和数据存放目录。然后通过-e MYSQL_ROOT_PASSWORD指定启动的mysql的root密码
[root@jumpserver
-no ~]# docker run -it -d -p 3306:3306 -v /iflytek/mysql/mysql.conf.d/mysqld.cnf:/etc/mysql/mysql.conf.d/mysqld.cnf -v /iflytek/mysql/conf.d/mysql.cnf:/etc/mysql/conf.d/mysql.cnf -v /iflytek/mysql/data/:/var/lib/mysql -e MYSQL_ROOT_PASSWORD="Liu@2020" mysql:5.7 9c7b2bc71c84137b10430d9f0e41f80ec63997e65390e1a64160dffcef853c64 #安装mysql客户端,测试访问容器数据库是否正常
[root@jumpserver
-no mysql]# yum install mysql-client [root@jumpserver-no mysql]# mysql -uroot -pLiu@2020 -h172.31.242.80 mysql: [Warning] Using a password on the command line interface can be insecure. Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 2 Server version: 5.7.31 MySQL Community Server (GPL) Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type \'help;\' or \'\h\' for help. Type \'\c\' to clear the current input statement. mysql> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | mysql | | performance_schema | | sys | +--------------------+ 4 rows in set (0.00 sec) #验证数据库的字符编码是否符合要求,jumpserver要求数据库字符编码为utf8,不然后面web显示可能会有问题 mysql> show global variables where variable_name like \'character%\'; +--------------------------+----------------------------+ | Variable_name | Value | +--------------------------+----------------------------+ | character_set_client | latin1 | | character_set_connection | latin1 | | character_set_database | latin1 | | character_set_filesystem | binary | | character_set_results | latin1 | | character_set_server | latin1 | | character_set_system | utf8 | | character_sets_dir | /usr/share/mysql/charsets/ | +--------------------------+----------------------------+ 8 rows in set (0.00 sec) #创建jumpserver数据库,并指定字符编码 mysql> create database jumpserver default charset \'utf8\' collate \'utf8_bin\'; Query OK, 1 row affected (0.00 sec) #创建jumpserver访问用户,并赋权。 mysql> grant all on jumpserver.* to \'jumpserver\'@\'%\' identified by \'Liu@2020\'; Query OK, 0 rows affected, 1 warning (0.00 sec)

 #验证jumpserver用户授权是否成功

[root@jumpserver-no mysql]# mysql -ujumpserver -pLiu@2020 -h172.31.242.80
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.7.31 MySQL Community Server (GPL)

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type \'help;\' or \'\h\' for help. Type \'\c\' to clear the current input statement.

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| jumpserver         |
+--------------------+
2 rows in set (0.00 sec)

3.部署redis容器服务

#直接从官方仓库拉取redis镜像,并启动
[root@jumpserver-no ~]# docker pull redis:4.0.14 [root@jumpserver-no ~]# docker run -it -d -p 6379:6379 redis:4.0.14 9cb2b24d2008a541635dc5f9fd21b843cb3c6e04517192ab7442e4eea9d66521 #安装redis,并测试访问redis容器服务,这里还可以设置一个redis的数据库密码,我这里就没设了,设不设问题不大,不过为了安全建议设
[root@jumpserver
-no ~]# yum install redis -y [root@jumpserver-no ~]# redis-cli -h 172.31.242.80 172.31.242.80:6379> info # Server redis_version:4.0.14 redis_git_sha1:00000000 .......

4.生成随机加密秘钥和初始化token

#我这里通过脚本直接生成。
[root@jumpserver-no ~]# cat random_encryption.sh #/bin/bash if [ ! "$SECRET_KEY" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi if [ ! "$BOOTSTRAP_TOKEN" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi [root@jumpserver-no ~]# bash random_encryption.sh Ty79C2b0CUgYHVDI6nog9hx0Mx55skIXP4piiSHtY1KKtD8Vt6 tFG4SfQae8L0Fzwn

5.部署jumpserver容器服务

#从网上直接拉取最新的jumpserver镜像
[root@jumpserver-no ~]# docker pull jumpserver/jms_all:latest [root@jumpserver-no ~]# docker image list REPOSITORY TAG IMAGE ID CREATED SIZE mysql 5.7 718a6da099d8 2 days ago 448MB jumpserver/jms_all latest 6e51b94ef54d 2 days ago 1.48GB redis 4.0.14 191c4017dcdd 3 months ago 89.3MB centos/mysql-57-centos7 latest f83a2938370c 10 months ago 452MB
#通过镜像,启动jumpserver
[root@jumpserver-no ~]# docker run --name PL_jumpserver -d \
> -v /iflytek/jumpserver:/opt/jumpserver/data/media \
> -p 80:80 \
> -p 2222:2222 \
> -e SECRET_KEY=Ty79C2b0CUgYHVDI6nog9hx0Mx55skIXP4piiSHtY1KKtD8Vt6 \ #这里填的是上面生成的秘钥
> -e BOOTSTRAP_TOKEN=tFG4SfQae8L0Fzwn \ #这里上面生成的Token
> -e DB_HOST=172.31.242.80 \ #指定mysql服务的地址,因为我这里是本机,所以直接填本机地址就可以了,如果是在别的机器部署的mysql,就填mysql所在地址就可以了
> -e DB_PORT=3306 \ #mysql开发的端口号
> -e DB_USER=jumpserver \ #对数据库上的jumpserver数据库有权限的用户
> -e DB_PASSWORD=Liu@2020 \ #上面用户的密码
> -e DB_NAME=jumpserver \ #指定在mysql上的数据库名。
> -e REDIS_HOST=172.31.242.80 \ #redis服务的地址
> -e REDIS_PORT=6379 \ #redis开放的端口号
> -e REDIS_PASSWORD= \ #redis数据库密码,因为我上面没有设密码,所以我这里直接为空就可以了,如果设了密码,就输入密码就行了
> jumpserver/jms_all:latest
afbd6023d8c0c4bd8a269cd4bbd998d409f76f71608ad5d112f26f9460841eed

启动完之后。我们进入数据库,验证数据库内容,看jumpserver数据是否写入到数据库中的。

[root@jumpserver-no ~]# mysql -uroot -pLiu@2020 -h 172.31.242.80
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 65
Server version: 5.7.31 MySQL Community Server (GPL)

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type \'help;\' or \'\h\' for help. Type \'\c\' to clear the current input statement.

mysql> use jumpserver;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+----------------------------------------------+
| Tables_in_jumpserver                         |
+----------------------------------------------+
| applications_databaseapp                     |
| applications_remoteapp                       |
| assets_adminuser                             |
| assets_asset                                 |
| assets_asset_labels                          |
| assets_asset_nodes                           |
| assets_assetgroup                            |
| assets_authbook                              |
| assets_cluster                               |
| assets_commandfilter                         |
| assets_commandfilterrule                     |
| assets_domain                                |
| assets_favoriteasset                         |

至此,服务部署完成,如果想看容器日志信息的话可以执行下面的命令

[root@jumpserver-no ~]# docker ps
CONTAINER ID        IMAGE                       COMMAND                  CREATED             STATUS              PORTS                                        NAMES
afbd6023d8c0        jumpserver/jms_all:latest   "./entrypoint.sh"        33 seconds ago      Up 32 seconds       0.0.0.0:80->80/tcp, 0.0.0.0:2222->2222/tcp   PL_jumpserver
9cb2b24d2008        redis:4.0.14                "docker-entrypoint.s…"   52 minutes ago      Up 52 minutes       0.0.0.0:6379->6379/tcp                       suspicious_fermi
9c7b2bc71c84        mysql:5.7                   "docker-entrypoint.s…"   2 hours ago         Up 2 hours          0.0.0.0:3306->3306/tcp, 33060/tcp            lucid_hypatia
[root@jumpserver-no ~]# docker logs -f afbd6023d8c0
。。。。。
2020-08-07 13:52:56 Collect static files
2020-08-07 13:53:00 Collect static files done
guacd[136]: INFO:    Guacamole proxy daemon (guacd) version 1.2.0 started
Starting guacd: SUCCESS
Tomcat started.
Jumpserver ALL v2.1.1
官网 http://www.jumpserver.org
文档 http://docs.jumpserver.org
有问题请参考 http://docs.jumpserver.org/zh/docs/faq.html

进入容器命令 docker exec -it jms_all /bin/bash

下面我们可以访问web界面进行使用了

3.Jumpserver管理员的使用

1.Jumpserver的登录

 

2.在使用Jumpserver过程中的一些名词解释

用户:用户是授权和登陆jumpserver的主体,将来为每个员工建立一个账户,用来登录跳板机, 将资产授权给该用户,查看用户登陆记录命令历史等。

用户组:多个用户可以组合成用户组,为了方便进行授权,可以将一个部门或几个用户 组建成用户组,在进行授权中使用组授权,该组中的用户拥有所有授权的主机权限。

资产:资产通常是我们的服务器、网络设备等,将资产授权给用户,用户则会有权限登 录资产,执行命令等。

管理账户:添加资产时需要添加一个管理账户,该账户是该资产上已有的有管理权限的用户, 如root,或者有 NOPASSWD: ALL sudo权限的用户,该管理账户用来向资产推送系统用户, 为系统用户添加sudo,获取资产的一些硬件信息。(简单的讲就这用户就是服务器上的管理员用户,列如root

资产组:同用户组,是资产组成的集合,为了方便授权。

Sudo:这里的sudo其实是Linux中的sudo命令别名,一个sudo别名包含多个命令, 系统用户关联sudo就代表该系统用户有权限sudo执行这些命令。

系统用户系统用户是服务器上建立的一些真实存在的可以ssh登陆的用户,如 dev, sa, dba等,系统用户可使用jumpserver推送到服务器上,也可以利用自己公司 的工具进行推送,授权时将用户、资产、系统用户关联起来则表明用户有权限登陆该资产的这个系统用户,比如用户小明 以 dev系统用户登录 172.16.1.1资产, 简单理解就是 将某个资产在进行授权给某个用户(这里的用户是上面的第一个用户的概念)后,该资产上一个非root的用户的账号(也就是系统用户)和这个jumpserver登录用户关联了,jumpserver用户登录进资产后不是通过jumpserver用户名进行登录的,而是这个所谓系统用户进行登录的。

推送系统用户:添加完系统用户,需要推送,推送操作是使用ansible,把添加的系统用户和系统用户管理的sudo,推送到资产上,具体体现是在资产上useradd该系统用户,设置它的key,然后设置它的sudo,为了让用户可以登录它。 

授权规则授权规则是将资产系统用户和用户关联起来,用来完成授权。 这样用户就可以以某个系统用户账号登陆资产。大家对这好像不是很理解,其实也是对系统用户, 用户这里没有搞清楚。我们可以把用户当做虚拟的用户,而系统用户是真实再服务器上存在的用户, 系统用户可以使用jumpserver推送,也可以自己手动建立,但是推送的过程一定要有,哪怕是模拟 推送(不选择秘钥和密码推送,如网络设备),因为添加授权规则会检查推送记录。为了简化理解, 我们暂时 以 用户 资产 系统用户 来理解,暂时不考虑组,添加这样的规则意思是 授权 用户 在这个资产上 以这个系统用户来登陆, 系统用户是一组具有通用性,具有sudo的用户, 不同的用户授权不同的 系统用户,比如 dba可能有用数据库的sudo权限。

日志审计:分为以下5个方式:1)在线:查看当前在线的用户(非web在线),可以监控用户的命令执行,强制结束用户 登录;2)实时监控:实时监控用户的操作;3)登录历史:查看以往用户的登录历史,可以查看用户登陆操作的命令,可以回放用户 执行命令的录像;4)命令记录:查看用户批量执行命令的历史,包含执行命令的主机,执行的命令,执行的结果;5)上传下载:查看用户上传下载文件的记录。

3.创建相关用户,资产并进行相关授权操作

创建jumpserver登录用户

 

 

 

 创建管理员用户

 

 创建系统用户

 

 

 

 创建资产

 

 

 

 

 

 

资产授权

 

 

 

4.普通用户的相关登录使用

 

1.web界面的相关使用

上面的一系列步骤做完之后,我们就可以通过jumpserver用户进行登录了。我们这里拿刚刚创建的ceshi2用户进行示范。登录之后我们看到下面的界面

 

 

 

 一般用户通过web界面登录进服务器后,因为登录进的系统用户只是一般用户,所以有时候很多命令不能执行,操作起来也不方便,所以一般我们会通过sudo su的命令临时切换到root用户进行操作。不过sudo su一般需要你输入当前用户的密码,也就是现在系统用户的密码,但是一般不建议把系统用户密码外泄。所以我们在把服务器纳入jumpserver管理的之前,一般会在服务器上已root执行一下如下脚本。

#/bin/bash
chmod u+w /etc/sudoers
sed -i \'/^root/a\ZF-USER  ALL=(ALL)  NOPASSWD: ALL\' /etc/sudoers
chmod u-w /etc/sudoers

 这样我们就可以通过sudo su免秘钥切换到root用户(这里可能会有用户会问,root用户操作不是不安全吗?对,可能是不安全,但是这个不安全是相对的,以前的话,如果别人已root用户操作,造成系统故障,可能都找不到操作人,但现在不一样,你如果想切换到root用户操作,你只能通过jumpserver登录后进到资产中进行切换,这样做到任何操作有迹可循,不泄漏系统用户密码的原因是,防止用户绕过jumpserver直接登录服务器进行root用户切换

这里还有用户可能会问,我们通过浏览器web界面的方式登录资产服务器是没问题啊,但是我经常要传输文件到服务器上,web界面的方式怎么传输文件到服务器。我们看下面的步骤,解决了我们的问题

 

 

 

 

 2.xshell的相关使用

有人习惯用xshell黑窗口看日志,还有当传大文件到服务器上的时候,就不建议通过web的方式传文件。而是推荐xshell的方式,jumpserver提供这样的方式,确保堡垒机已经安装coco组件(容器部署的默认安装了此组件),具体如下:

 

 

 

版权声明:本文为qingbaizhinian原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/qingbaizhinian/p/13451976.html