赞
踩
在一个特定网络环境下, 为了保障网络和数据不受外界入侵和破坏, 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动, 以便集中报警、及时处理及审计定责。
我们又把堡垒机叫做跳板机, 简易的跳板机功能简单, 主要核心功能是远程登录服务器和日志审计。
比较优秀的开源软件 jumpserver, 认证、授权、审计、自动化、资产管理。
商业堡垒机: 齐治, Citrix XenApp
Jumpserver 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A(认证 Authentication、授权 Authorization、记账 Accounting、审计 Audit) 的专业运维审计系统。Jumpserver 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。
Jumpserver 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yx9ETNHo-1670571726181)(http://pfpcar3om.bkt.clouddn.com/server-jumpserver-nginx.webp)]
Jumpserver
现指 Jumpserver 管理后台, 是核心组件 (Core), 使用 Django Class Based View 风格开发, 支持 Restful API。
Coco
实现了 SSH Server 和 Web Terminal Server 的组件, 提供 SSH 和 WebSocket 接口, 使用 Paramiko 和 Flask 开发。
Luna
现在是 Web Terminal 前端, 计划前端页面都由该项目提供, Jumpserver 只提供 API, 不再负责后台渲染 html 等。
Guacamole
Apache 跳板机项目, Jumpserver 使用其组件实现 RDP 功能, Jumpserver 并没有修改其代码而是添加了额外的插件, 支持 Jumpserver 调用。
Jumpserver-Python-SDK
Jumpserver API Python SDK, Coco 目前使用该 SDK 与 Jumpserver API 交互。
参考文章: http://docs.jumpserver.org/zh/latest/admin_instruction.html
[root@test ~]# cat /etc/redhat-release
[root@test ~]# uname -r
[root@test ~]# ip add|grep 192.168.22
inet 192.168.22.175/24 brd 192.168.22.255 scope global ens32
[root@test ~]# systemctl stop firewalld
[root@test ~]# systemctl disable firewalld
[root@test ~]# sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
[root@master ~]# grep "SELINUX=" /etc/selinux/config
[root@test ~]# reboot
[root@test ~]# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
[root@test ~]# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
[root@test ~]# tar xf Python-3.6.1.tar.xz
[root@test ~]# cd Python-3.6.1
[root@test Python-3.6.1]# ./configure
[root@test Python-3.6.1]# echo $?
0
[root@test Python-3.6.1]# make && make install
[root@test Python-3.6.1]# echo $?
0
因为 CentOS 6/7 自带的是 Python2, 而 Yum 等工具依赖原来的 Python, 为了不扰乱原来的环境我们来使用 Python 虚拟环境。
[root@test Python-3.6.1]# cd /opt/
[root@test opt]# python3 -m venv py3
[root@test opt]# source /opt/py3/bin/activate
(py3) [root@test opt]#
# 看到上面的提示符代表成功, 以后运行 Jumpserver 都要先运行以上 source 命令, 以下所有命令均在该虚拟环境中运行
(py3) [root@localhost py3]
(py3) [root@test opt]# pwd
/opt
(py3) [root@test opt]# git clone --depth=1 https://github.com/jumpserver/jumpserver.git
(py3) [root@test opt]# cd jumpserver/
(py3) [root@test jumpserver]# git checkout master
Already on 'master'
安装依赖 RPM 包
(py3) [root@test jumpserver]# cd /opt/jumpserver/requirements/
(py3) [root@test requirements]# yum -y install $(cat rpm_requirements.txt)
# 无任何报错即可完成
安装 Python 库依赖
(py3) [root@test requirements]# pip install -r requirements.txt
这里官方比较坑, 说不要指定源, 不指定源根本装不了, 可根据实际情况指定相关的新 pip 源进行安装, 实在安装不了的, 下载源码包手工安装。
安装 Redis
Jumpserver 使用 Redis 做 cache 和 celery broke
(py3) [root@master opt]# yum -y install redis
(py3) [root@master opt]# service redis start
(py3) [root@master opt]# lsof -i :6379
安装 MySQL
这里直接使用二进制安装包安装。
(py3) [root@master opt]# /etc/init.d/mysqld start
(py3) [root@master opt]# lsof -i :3306
创建数据库 Jumpserver 并授权
(py3) [root@master opt]# mysql -uroot -p
MySQL [(none)]> create database jumpserver default charset 'utf8';
MySQL [(none)]> grant all on jumpserver.* to 'jumpserver'@'localhost' identified by '123456';
MySQL [(none)]> flush privileges;
修改 Jumpserver 配置文件
(py3) [root@master opt]# cd /opt/jumpserver/
(py3) [root@master jumpserver]# cp config_example.py config.py
(py3) [root@master jumpserver]# vim config.py
--------------------
# Default using Config settings, you can write if/else for different env
class DevelopmentConfig(Config):
DEBUG = True
DB_ENGINE = 'mysql'
DB_HOST = '127.0.0.1'
DB_PORT = 3306
DB_USER = 'jumpserver'
DB_PASSWORD = '123456'
DB_NAME = 'jumpserver'
config = DevelopmentConfig()
# 增加上面的内容
生成数据库表结构和初始化数据
(py3) [root@master jumpserver]# cd /opt/jumpserver/utils/
(py3) [root@master utils]# bash make_migrations.sh
运行 jumpserver
(py3) [root@master utils]# cd /opt/jumpserver/
(py3) [root@master jumpserver]# python run_server.py all
运行之后没有报错信息, 就可以使用浏览器访问了 http://server_ip:8080
默认用户名 / 密码: admin/admin 此时运行的只是 jumpserver 的 WEB 端, 如果需要访问访问 Web Terminal 会报错如下
新打开一个 SSH 终端连接去安装
下载项目文件
[root@master ~]# source /opt/py3/bin/activate
(py3) [root@master ~]# cd /opt/
(py3) [root@master opt]# git clone https://github.com/jumpserver/coco.git
(py3) [root@master opt]# cd coco && git checkout master
Already on 'master'
安装依赖
(py3) [root@master coco]# cd /opt/coco/requirements/
(py3) [root@master requirements]# yum -y install $(cat rpm_requirements.txt)
(py3) [root@master requirements]# pip install -r requirements.txt
(py3) [root@master requirements]# echo $?
0
(py3) [root@master requirements]# cd /opt/coco/
(py3) [root@master coco]# cp conf_example.py conf.py
(py3) [root@master coco]# python run_server.py
# 此时需要去 WEB 管理后台确认注册信息
点击确认之后会出现下面的提示
2018-05-09 14:21:23 [service DEBUG] Set app service auth: 9f13a90b-80e4-47ae-b0ad-d825cff70ff0
2018-05-09 14:21:23 [service DEBUG] Service http auth: <jms.auth.AccessKeyAuth object at 0x7f5d1b18de10>
2018-05-09 14:21:23 [app DEBUG] Loading config from server: {"COMMAND_STORAGE": {"TYPE": "server"}, "REPLAY_STORAGE": {"TYPE": "server"}}
Wed May 9 14:21:23 2018
Coco version 1.3.0, more see https://www.jumpserver.org
Quit the server with CONTROL-C.
Starting ssh server at 0.0.0.0:2222
WebSocket transport not available. Install eventlet or gevent and gevent-websocket for improved performance.
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)
# 出现上面的提示表示成功
测试连接
[root@testLinux1 ~]# ssh -p2222 admin@192.168.3.82
The authenticity of host '[192.168.3.82]:2222 ([192.168.3.82]:2222)' can't be established.
RSA key fingerprint is SHA256:Dw9BcxNFFZtgc1EpavxUeamzKT1VoX6UAPNIyzaEhpw.
RSA key fingerprint is MD5:16:d8:05:5e:12:9d:e5:54:ee:96:97:21:ab:33:2c:7e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.3.82]:2222' (RSA) to the list of known hosts.
admin@192.168.3.82's password:
Administrator, 欢迎使用 Jumpserver 开源跳板机系统
1) 输入 ID 直接登录 或 输入部分 IP, 主机名, 备注 进行搜索登录 (如果唯一).
2) 输入 / + IP, 主机名 or 备注 搜索. 如: /ip
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组 ID 显示该组下主机. 如: g1
6) 输入 H/h 帮助.
0) 输入 Q/q 退出.
Opt>
# 能成功登录的表示安装部署成功
Luna 已改为纯前端, 需要 Nginx 来运行访问, 访问 (https://github.com/jumpserver/luna/releases) 下载对应版本的 release 包, 直接解压, 不需要编译。
(py3) [root@master opt]# docker run --name jms_guacamole -d \
-p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \
-e JUMPSERVER_KEY_DIR=/config/guacamole/key \
-e JUMPSERVER_SERVER=http://192.168.3.82:8080 \
registry.jumpserver.org/public/guacamole:1.0.0
# 然后去后台接受注册信息
需要注意的是修改默认 IP 如下图
(py3) [root@master opt]# yum install nginx -y
(py3) [root@master opt]# cd /etc/nginx/
(py3) [root@master nginx]# cp nginx.conf nginx.conf.bak
(py3) [root@master nginx]# vim nginx.conf
server {
listen 80;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}
location /static/ {
root /opt/jumpserver/data/;
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
access_log off;
}
location / {
proxy_pass http://localhost:8080;
}
}
}
(py3) [root@master nginx]# nginx -t
(py3) [root@master nginx]# nginx
(py3) [root@master nginx]# lsof -i :80
最后通过 nginx 直接访问如下
系统几个用户的区别
用户: 是指你在 web 上创建的用户, 会在跳板机上创建这个用户, 作用就是用于登录跳板机, 另外用户分为普通用户和超级管理员, 后者可以审计查看用户登陆记录、命令历史等
管理用户: 是指客户端上的如 root 等高权限账号 (或普通用户拥有 NOPASSWD: ALL sudo 权限), 作用用于推送系统用户, 注意是已经在客户端用户上存在的用户。
系统用户: 是指要在客户端上创建这个系统用户, 通过推送来实现, 作用就是登录客户端。
两者都是客户端上的用户, 后者涉及到一个推送动作
比如推送 test 系统用户, 也就是在客户端上创建 test 用户, 那么创建用户需要有权限
有没有权限创建就要看你是用客户端的 root 用户还是普通用户做为管理用户
如果后者做为管理用户就需要添加 sudo 权限又是 NOPASSWD: ALL
添加用户组
添加用户
这个用户是用于登录 jumpsesrver 的用户, 与后面的管理用户、系统用户没有关联。
添加完成
创建管理用户
这个用户必须具备客户端管理权限, 否则后面会有问题, 这里我以管理用户为例创建
添加系统用户
系统用户是 Jumpserver 跳转登录资产时使用的用户, 可以理解为登录资产用户, 如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器 (ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录 Jumpserver, Jumpserver 使用系统用户登录资产。 系统用户创建时, 如果选择了自动推送 Jumpserver 会使用 ansible 自动推送系统用户到资产中, 如果资产(交换机、windows) 不支持 ansible, 请手动填写账号密码。 目前还不支持 Windows 的自动推送.
注: 这个系统在创建时, 是可以配置 sudo 权限的
创建资产
创建完成后, 可以在下面的界面测试连接性
点击更新硬件信息
点击测试可连接性
表示正常连接, 返回资产列表如下图
[root@test ~]# ssh -p2222 jumpserver@192.168.3.82
jumpserver@192.168.3.82's password:
登录到jumpserver, 欢迎使用Jumpserver开源跳板机系统
1) 输入 ID 直接登录 或 输入部分 IP,主机名,备注 进行搜索登录(如果唯一).
2) 输入 / + IP, 主机名 or 备注 搜索. 如: /ip
3) 输入 P/p 显示您有权限的主机.
4) 输入 G/g 显示您有权限的主机组.
5) 输入 G/g + 组ID 显示该组下主机. 如: g1
6) 输入 H/h 帮助.
0) 输入 Q/q 退出.
Opt> p
ID Hostname IP LoginAs Comment
1 3.26 192.168.3.26 [3.16用户]
2 linux 192.168.3.16 [3.16用户]
总共: 2 匹配: 2
Opt> 1
Connecting to testsysuser@3.26 0.6
[testsysuser@linux1 ~]$ pwd
/home/testsysuser
[testsysuser@linux1 ~]$ ip add |grep 192.168.1.
inet 192.168.3.26/24 brd 192.168.3.255 scope global ens160
#可以正常用系统用户来登录客户端主机了
WEB 端也可以看到在线的会话
历史会话
还可以看到具体回放功能, 点击回放可查看登录用户的操作过程
命令记录
整体仪表盘
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。