大家好,欢迎来到IT知识分享网。
什么是跳板机
跳板机就是一台服务器而已,运维人员在使用管理服务器的时候,必须先连接上跳板机,然后才能去操控内网中的服务器,才能登录到目标设备上进行维护和操作
开发小张 —> 登录跳板机 —> 再登录开发服务器
测试小王 —> 登录跳板机 —> 再登录测试服务器
跳板机的优缺点
优点:集中式对服务器进行管理
缺点:没有实现对于运维人员操作的监控和审计。使用跳板机的过程中,还有可能在服务器上进行错误的操作。一旦出现错误操作,很难定位到操作人。
堡垒机运维思想
- 审计也只是事后的行为,审计能够发现问题和责任人,但是无法防止问题的发生
- 只有实现事先严格监控,才能够在源头上解决服务器操作的事故
- 堡垒机能够创建系统账号,该系统账号功能是属于角色区分的作用,但是也无法确认该账号的执行人,比如 测试员工可以登录运维员工的账号
堡垒机的作用
堡垒机在跳板机的基础上做了优化
- 核心系统运维和安全审计管理
- 过滤和拦截非法请求访问、恶意攻击,拒绝不合法的命令,进行审计口监控、报警和责任追踪
- 报警、记录、分析、处理
堡垒机核心功能
- 单点登录功能
- 账号管理
- 身份认证
- 资源授权
- 访问控制
- 操作审计
JumpServer核心架构讲解
官方文档:JumpServer 文档
组件介绍
核心架构
JumpServer服务器部署
#Linux服务器准备,硬件配置:2cpu 4G内存 50G硬盘 环境初始化
#环境准备,关闭防火墙服务 sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config systemctl disable --now firewalld reboot #配置yum源,准备好阿里云的yum源,以及epel源 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo yum clean all #清空原有的yum缓存 yum makecache #生成新的yum缓存,便于加速软件下载 #安装系统初始化所需的软件 yum install -y bash-completion vim lrzsz wget expect nettools nc nmap tree dos2unix htop iftop iotop unzip telnet sl psmisc nethogs glances bc ntpdate openldap-devel gcc #安装jumpserver运行所需的依赖环境 yum -y install git python-pip gcc automake autoconf pythondevel vim sshpass lrzsz readline-devel zlib zlib-devel openssl openssl-devel #修改系统的字符集,改为是中文的 localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8 export LC_ALL=zh_CN.UTF-8 #把修改字符集的命令,写入全局配置文件 echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf #检查系统编码 locale部署数据库mysql 5.6
#获取mysql 5.6的软件包 mkdir /teach_jmp cd /teach_jmp/ wget https://cdn.mysql.com//Downloads/MySQL-5.6/MySQL-5.6.49-1.el7.x86_64.rpm-bundle.tar #解压缩 mkdir mysql_rpm tar -xf MySQL-5.6.49-1.el7.x86_64.rpm-bundle.tar -C ./mysql_rpm/ #使用yum命令,安装一系列的rpm包 cd mysql_rpm yum localinstall ./* #安装完毕后,检查mysql的配置文件,做如下的修改 vim /etc/my.cnf [mysqld_safe] log-error=/var/log/mysql/mysql.log pid-file=/var/run/mysql/mysql.pid #启动mysql服务端 systemctl start mysql #修改密码 [root@jumpserver mysql_rpm]# cat ~/.mysql_secret #查看随机密码 # The random password set for the root user at Tue Dec 12 15:23:04 2023 (local time): l9KyFuhIg7um_BDm [root@jumpserver mysql_rpm]# mysqladmin -uroot -pl9KyFuhIg7um_BDm password 你要设置的密码 #使用新密码登录mysql 5.6 mysql -uroot -p #更为安全的修改密码的方法:使用随机密码登录mysql,然后再使用以下sql语句,然后再刷新,再用新密码登录mysql 5.6 update mysql.user set password=password('你的密码') where user='root'; flush privileges; #创建数据库 create database jumpserver default charset 'utf8' collate 'utf8_bin'; #创建用户且设置密码 create user 'jumpserver'@'%' IDENTIFIED BY '密码'; #给该用户授予访问数据库的权限 grant all privileges on jumpserver.* to 'jumpserver'@'%' identified by 'chaoge888'; flush privileges; 部署Python3.6
#下载python3.6源代码 cd /teach_jmp && \ wget https://www.python.org/ftp/python/3.6.10/Python-3.6.10.tgz #解压缩 tar -zxf Python-3.6.10.tgz #指定安装路径 cd Python-3.6.10 ./configure --prefix=/teach_jmp/python3.6.10/ #编译且编译安装 make && make install #配置环境变量 vim /etc/profile 在文件最后添加 PATH="/teach_jmp/python3.6.10/bin:$PATH" #让刚才配置的环境变量生效 source /etc/profile #使用环境变量的方式,启动python3 python3
创建Python3虚拟环境详解
#python3的程序在运行的时候,必须使用pip3安装模块,类似以前的yum #更换pip3的下载源,换成阿里云的下载源 mkdir ~/.pip touch ~/.pip/pip.conf [root@jumpserver ~]# vim ~/.pip/pip.conf [root@jumpserver ~]# cat ~/.pip/pip.conf [global] index-url = https://mirrors.aliyun.com/pypi/simple/ #下载虚拟环境工具 pip3 install virtualenv #使用虚拟环境工具,再创建出一个python3解释器,用于运行代码 cd /teach_jmp virtualenv --python=python3 jmp_venv1 #此时,你的linux服务器上就有了2个python3解释器了 #解释器本体是:/teach_jmp/python3.6.10/bin/python3 #我们创建的虚拟解释器的路径是:/teach_jmp/jmp_venv1/bin/python3 #那个python3的解释器的环境变量排在前面,默认用的就是哪个python3解释器 [root@jumpserver teach_jmp]# echo $PATH /teach_jmp/python3.6.10/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin [root@jumpserver teach_jmp]# which python3 /teach_jmp/python3.6.10/bin/python3 #激活虚拟环境,其实是修改了环境变量, source /teach_jmp/jmp_venv1/bin/activate (jmp_venv1) [root@jumpserver teach_jmp]# echo $PATH /teach_jmp/jmp_venv1/bin:/teach_jmp/python3.6.10/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin (jmp_venv1) [root@jumpserver teach_jmp]# which python3 /teach_jmp/jmp_venv1/bin/python3 #可以退出虚拟环境 deactivate [root@jumpserver teach_jmp]# which python3 /teach_jmp/python3.6.10/bin/python3Redis数据库部署
mysql关系型数据库,磁盘型数据库,数据是以文件形式存储在磁盘上的,可以持久化长期存储。
redis内存型数据库,缓存型数据库。
#安装redis的形式 #rpm包手动安装,需要手动解决依赖,不推荐使用 #yum自动化安装,适合软件调试学习使用,安装自动解决依赖,很好用 #源代码编译安装redis #选择yum自动化安装即可 yum install redis -y #启动redis systemctl start redis redis-cli部署jumpserver服务
一个后台程序,基本上都是需要依赖于数据库才能运行,后台程序在启动的时候,代码就会去连接数据库,保证数据库正确启动,而且可以正确连接,否则后台程序是起不来的。
#获取jumpserver程序的代码,github有公有仓库,所有人都可以下载,私有仓库,只有企业内部人员,用账号密码登录后下载 wget https://github.com/jumpserver/jumpserver/releases/download/v2.1.0/jumpserver-v2.1.0.tar.gz #解压缩 tar -zxvf jumpserver-v2.1.0.tar.gz #软链接 ln -s /teach_jmp/jumpserver-v2.1.0 /teach_jmp/jumpserver #安装依赖关系 yum install -y bash-completion vim lrzsz wget expect net-tools nc nmap tree dos2unix htop iftop iotop unzip telnet sl psmisc nethogs glances bc ntpdate openldap-devel #激活虚拟环境 source /teach_jmp/jmp_venv1/bin/activate #安装jumpserver所需的模块 pip3 install -r /teach_jmp/jumpserver/requirements/requirements.txt 修改JumpServer配置文件
#先备份一下配置文件 cp config_example.yml config.yml #生成密钥 if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi JtSaSJPkG8wea50Y1xQAULvI09dVHPeIjLGfRWnXMRhD3lPgCP #生成token密钥 if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi 0OjU5LGYrJmMKKmt #把刚才生成的随机密钥,写入配置文件 vim config.yml 
对python程序进行数据库迁移
jumpserver这个程序是由python的web框架djiango开发而来,必须得先进行数据库迁移,生成库表的信息,才能运行程序
#数据迁移 python3 /teach_jmp/jumpserver/apps/manage.py makemigrations python3 /teach_jmp/jumpserver/apps/manage.py migrate #启动jms服务 /teach_jmp/jumpserver/jms start -dKoko程序部署
koko是golang语言开发的一款组件,和之前的coco组件(python开发的)相比,koko的性能、效率、系统资源利用率都更高了。
#下载koko源代码 wget https://github.com/jumpserver/koko/releases/download/v2.1.0/koko-v2.1.0-linux-amd64.tar.gz #解压缩配置koko文件 tar -zxf koko-v2.1.0-linux-amd64.tar.gz chown -R root:root koko-v2.1.0-linux-amd64 ln -s /teach_jmp/koko-v2.1.0-linux-amd64 /teach_jmp/koko #修改koko配置文件信息 cd koko cp config_example.yml config.yml vim config.yml 
#启动koko /teach_jmp/koko/koko -d #可以检查koko的日志,明确koko是否正确启动 tail /teach_jmp/koko/data/logs/koko.log #检查koko的端口 netstat -tunlp
部署Guacamole组件
#在https://guacamole.apache.org/releases下载压缩包,然后用rz命令,把压缩包从windows传到Linux的/teach_jmp #解压缩、配置 tar -zxvf guacamole-server-1.2.0.tar.gz mv guacamole-server-1.2.0 guacamole cd guacamole #准备编译环境 yum install cairo-devel libjpeg-turbo-devel libjpeg-devel libpng-devel libtool uuid-devel -y #可选的软件依赖 yum install freerdp-devel pango-devel libssh2-devel libtelnet-devel libvncserver-devel libwebsockets-devel pulseaudio-libs-devel openssl-devel libvorbis-devel libwebp-devel -y #安装FFmPeg工具 rpm -Uvh http://li.nux.ro/download/nux/dextop/el7/x86_64/nux-dextop-release-0-5.el7.nux.noarch.rpm yum install ffmpeg yum install vlc #编译安装guacamole ./configure --with-init-dir=/etc/init.d make && make install #部署java开发环境 yum install -y java-1.8.0-openjdk #创建运行guacamole所需的文件夹 mkdir -p /config/guacamole /config/guacamole/extensions /config/guacamole/record /config/guacamole/drive && \ chown daemon:daemon /config/guacamole/record /config/guacamole/drive && \ cd /config #下载tomcat工具,用于运行java项目 #在https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.85/bin/apache-tomcat-9.0.85.tar.gz目录下载压缩包到windows,然后再用rz命令把它传到Linux系统的/opt目录下 #部署guacamole和tomcat的结合,需要修改它们的配置文件 cd /opt tar -xf apache-tomcat-9.0.85.tar.gz mv apache-tomcat-9.0.85 tomcat9 rm -rf /opt/tomcat9/webapps/* sed -i 's/Connector port="8080"/Connector port="8081"/g' /opt/tomcat9/conf/server.xml echo "java.util.logging.ConsoleHandler.encoding = UTF-8" >> /opt/tomcat9/conf/logging.properties #设置guacamole的运行环境变量 export JUMPSERVER_SERVER=http://127.0.0.1:8080 echo "export JUMPSERVER_SERVER=http://127.0.0.1:8080" >> ~/.bashrc export BOOTSTRAP_TOKEN=0OjU5LGYrJmMKKmt echo "export BOOTSTRAP_TOKEN=0OjU5LGYrJmMKKmt" >> ~/.bashrc export JUMPSERVER_KEY_DIR=/config/guacamole/keys echo "export JUMPSERVER_KEY_DIR=/config/guacamole/keys" >> ~/.bashrc export GUACAMOLE_HOME=/config/guacamole echo "export GUACAMOLE_HOME=/config/guacamole" >> ~/.bashrc export GUACAMOLE_LOG_LEVEL=ERROR echo "export GUACAMOLE_LOG_LEVEL=ERROR" >> ~/.bashrc export JUMPSERVER_ENABLE_DRIVE=true echo "export JUMPSERVER_ENABLE_DRIVE=true" >> ~/.bashrc #启动服务 /etc/init.d/guacd start sh /opt/tomcat9/bin/startup.shLina组件部署
#提前准备好nginx服务 yum install nginx -y #获取代码 wget https://github.com/jumpserver/lina/releases/download/v2.1.0/lina-v2.1.0.tar.gz #解压缩lina tar -zxvf lina-v2.1.0.tar.gz mv lina-v2.1.0 lina chown -R nginx:nginx linaLuna组件部署
#下载源码 wget https://github.com/jumpserver/luna/releases/download/v2.1.1/luna-v2.1.1.tar.gz #解压配置 tar -zxvf luna-v2.1.1.tar.gz mv luna-v2.1.1 luna chown -R root.root luna部署nginx
nginx作用于处理静态文件,以及用于对jumpserver后台程序的反向代理
#安装nginx
yum install nginx -y
#修改nginx配置文件,删除原来的虚拟主机配置
sed -i '38,58d' /etc/nginx/nginx.conf
#添加新的虚拟主机配置
server {
listen 80;
client_max_body_size 100m; #录像及文件上传大小限制
location /ui/ {
try_files $uri / /index.html;
alias /teach_jmp/lina/;
}
location /luna/ {
try_files $uri / /index.html;
alias /teach_jmp/luna/; # luna路径,如果修改安装目录,此处需要修改
}
location /media/ {
add_header Content-Encoding gzip;
root /teach_jmp/jumpserver/data/; #录像位置,如果修改安装目录,此处需要修改
}
location /static/ {
root /teach_jmp/jumpserver/data/; # 静态资源,如果修改安装目录,此处需要修改
}
location /koko/ {
proxy_pass http://localhost:5000;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
access_log off;
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
access_log off;
}
location /ws/ {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
proxy_pass http://localhost:8070;
proxy_http_version 1.1;
proxy_buffering off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /api/ {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
}
location /core/ {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
}
location / {
rewrite ^/(.*)$ /ui/$1 last;
}
}
#启动nginx
nginx然后在浏览器输入你机器的ip地址,会出现以下界面
用户名和密码默认都是admin
jumpserver启动流程总结
#启动数据库mysql redis systemctl start mysql systemctl start redis #激活python的虚拟环境,然后启动jms核心后台 source /teach_jmp/jmp_venv1/bin/activate /teach_jmp/jumpserver/jms start -d #启动koko程序 /teach_jmp/koko/koko -d #guacamole程序启动 /etc/init.d/guacd start #启动tomcat程序 bash /opt/tomcat9/bin/startup.sh #web服务器启动 nginx给目标机器添加防火墙规则
设置防火墙规则,只允许堡垒机登录Linux
#只允许jumpserver机器的ip可以登录,其他机器拒绝 iptables -A INPUT -s 192.168.13.130 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j REJECTJumpServer配置邮箱
其中,SMTP密码如下:
JumpServer创建用户
JumpServer资产创建管理
资产:服务器、交换机、路由器等设备
资产中的用户管理
添加资产
管理用户
Root 超级管理员
sudo 命令,伪管理员,默认以root身份去执行命令,因此要慎用,我们可以基于sudo命令做更多的权限控制
wangcai 系统的普通用户,权限很低
admin jumpserver 管理员用户
qiujie jumpserver 普通用户,权限较低
管理用户【客户端 –> jumpserver –>目标服务器】
普通用户指的就是被管理机器上的root用户,或者是可以使用sudo权限的用户,jumpserver利用该管理用户在目标机器上,进行远程的命令执行,推送系统用户,获取资产的硬件信息、指标等。
系统用户
/etc/passwd 是系统级的超级用户、普通用户等等,有些是可以允许登录服务器的,使用ssh协议.。
jumpserver 的系统用户,针对jumpserver操控,登录普通机器,所使用的一些特有用户
资产授权
web终端功能
Luna提供web终端界面
命令行跳板机
koko的功能来了
#在xshell中输入命令,登录jumpserver ssh .130 -p 2222然后就会进入以下界面 
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/144794.html
