Jumpserver部署實戰
系統簡介
- Jumpserver 是全球首款徹底開源的堡壘機,使用 GNU GPL v2.0 開源協議,是符合 4A 的專業運維審計系統。
- Jumpserver 使用 Python / Django 進行開發,遵循 Web 2.0 規範,配備了業界領先的 Web Terminal 解決方案,交互界面美觀、用戶體驗好。
- Jumpserver 能夠採用分佈式架構,支持多機房跨區域部署,中心節點提供 API,各機房部署登陸節點,可橫向擴展、無併發訪問限制。
安裝環境
- 系統: CentOS 7(本試驗使用VMware虛擬機,操做系統爲CentOS7.5)
- IP:10.10.10.128(IP地址可自行設定)
安裝步驟
1、關閉 selinux 和防火牆
# setenforce 0 ## 能夠設置配置文件永久關閉 # systemctl stop firewalld.service ## 修改字符集,不然可能報 input/output error的問題,由於日誌裏打印了中文 # localedef -c -f UTF-8 -i zh_CN zh_CN.UTF-8 # export LC_ALL=zh_CN.UTF-8 # echo 'LANG="zh_CN.UTF-8"' > /etc/locale.conf
2、準備 Python3 和 Python 虛擬環境
2.1 Yum加速(可選)
# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup # wget http://mirrors.163.com/.help/CentOS7-Base-163.repo -O /etc/yum.repos.d/CentOS-Base.repo
# yum clean all
# yum makecache
2.2 安裝依賴包
# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
2.3 編譯安裝Python3
# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz # tar xvf Python-3.6.1.tar.xz && cd Python-3.6.1 # ./configure && make && make install ## CentOS7自帶的是Python2,而Yum等工具依賴原來的Python,所以這裏執行編譯安裝Python3
2.4 創建Python虛擬環境
## 爲了避免擾亂本來的環境,咱們使用Python虛擬環境 # cd /opt # python3 -m venv py3 # source /opt/py3/bin/activate ## 看到下面的提示符表明成功,之後運行Jumpserver都要先運行以上source命令,如下全部命令均在該虛擬環境中運行 (py3) [root@localhost py3]
2.5 自動載入Python虛擬環境配置
## 此項僅爲防止運行Jumpserver時忘記載入Python虛擬環境致使程序沒法運行,這裏使用autoenv # cd /opt # git clone git://github.com/kennethreitz/autoenv.git # echo 'source /opt/autoenv/activate.sh' >> ~/.bashrc # source ~/.bashrc
3、安裝Jumpserver
3.1 下載或Clone項目
## 項目git clone時較大,你能夠選擇去Github項目頁面直接下載zip包。 # cd /opt/ # git clone https://github.com/jumpserver/jumpserver.git && cd jumpserver && git checkout master # echo "source /opt/py3/bin/activate" > /opt/jumpserver/.env ## 進入jumpserver目錄時將自動載入python虛擬環境 ## 首次進入jumpserver文件夾會有提示,按 y 便可 # Are you sure you want to allow this? (y/N) y
3.2 安裝依賴RPM包
# cd /opt/jumpserver/requirements # yum -y install $(cat rpm_requirements.txt) ## 若是沒有任何報錯請繼續
3.3 設置pip加速
# pip install --upgrade pip ## 將pip更新至最新版
## 在~/.pip/pip.conf文件中添加或修改 [global] index-url = http://mirrors.aliyun.com/pypi/simple/ [install] trusted-host=mirrors.aliyun.com
##此步驟非必需,可是官方源的速度...
3.4 安裝Python庫依賴
# pip install -r requirements.txt
## 若是加速鏡像上沒有所需依賴包可單獨下載安裝
3.5 安裝Redis
## Jumpserver使用Redis作cache # yum -y install redis
# systemctl enable redis # systemctl start redis
3.6 安裝 MySQL
## 這裏使用Mysql做爲數據庫,若是不使用Mysql能夠跳過相關Mysql安裝和配置 # yum -y install mariadb mariadb-devel mariadb-server ## CentOS7下安裝的是mariadb # systemctl enable mariadb # systemctl start mariadb
3.7 建立數據庫Jumpserver並受權
# mysql > create database jumpserver default charset 'utf8'; > grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'somepassword'; > flush privileges;
3.8 修改 Jumpserver 配置文件
# cd /opt/jumpserver # cp config_example.py config.py # vi config.py
## 注意: 配置文件是Python格式,不要用TAB,而要用空格 """ jumpserver.config ~~~~~~~~~~~~~~~~~ Jumpserver project setting file :copyright: (c) 2014-2017 by Jumpserver Team :license: GPL v2, see LICENSE for more details. """ import os BASE_DIR = os.path.dirname(os.path.abspath(__file__)) class Config: # Use it to encrypt or decrypt data # Jumpserver 使用SECRET_KEY進行加密,請務必修改如下設置 # SECRET_KEY = os.environ.get('SECRET_KEY') or '2vym+ky!997d5kkcc64mnz06y1mmui3lut#(^wd=%s_qj$1%x' SECRET_KEY = '請隨意輸入隨機字符串(推薦字符大於等於 50位)' # Django security setting, if your disable debug model, you should setting that ALLOWED_HOSTS = ['*'] # DEBUG 模式 True爲開啓 False爲關閉,默認開啓,生產環境推薦關閉 # 注意:若是設置了DEBUG = False,訪問8080端口頁面會顯示不正常,須要搭建Nginx代理才能夠正常訪問了 DEBUG = False # 日誌級別,默認爲DEBUG,可調整爲INFO, WARNING, ERROR, CRITICAL,默認INFO LOG_LEVEL = 'ERROR' LOG_DIR = os.path.join(BASE_DIR, 'logs') # 使用的數據庫配置,支持sqlite3, mysql, postgres等,默認使用sqlite3 # See https://docs.djangoproject.com/en/1.10/ref/settings/#databases # 默認使用SQLite,若是使用其餘數據庫請註釋下面兩行 # DB_ENGINE = 'sqlite3' # DB_NAME = os.path.join(BASE_DIR, 'data', 'db.sqlite3') # # 若是須要使用mysql或postgres,請取消下面的註釋並輸入正確的信息,本例使用mysql作演示 DB_ENGINE = 'mysql' DB_HOST = '127.0.0.1' DB_PORT = 3306 DB_USER = 'jumpserver' DB_PASSWORD = 'somepassword' DB_NAME = 'jumpserver' # Django 監聽的ip和端口,生產環境推薦把0.0.0.0修改爲127.0.0.1,這裏的意思是容許x.x.x.x訪問,127.0.0.1表示僅容許自身訪問 # ./manage.py runserver 127.0.0.1:8080 HTTP_BIND_HOST = '127.0.0.1' HTTP_LISTEN_PORT = 8080 # Redis 相關設置 REDIS_HOST = '127.0.0.1' REDIS_PORT = 6379 REDIS_PASSWORD = '' def __init__(self): pass def __getattr__(self, item): return None class DevelopmentConfig(Config): pass class TestConfig(Config): pass class ProductionConfig(Config): pass # Default using Config settings, you can write if/else for different env config = DevelopmentConfig()
3.9 生成數據庫表結構和初始化數據
# cd /opt/jumpserver/utils # bash make_migrations.sh
3.10 運行 Jumpserver
# cd /opt/jumpserver # ./jms start all # 後臺運行使用 -d 參數./jms start all -d ## 新版本更新了運行腳本,使用方式./jms start|stop|status|restart all 後臺運行請添加 -d 參數
## 運行不報錯,請瀏覽器訪問 http://10.10.10.128:8080/ 默認帳號: admin 密碼: admin 頁面顯示不正常先不用處理,跟着教程繼續操做就行,後面搭建nginx代理就能夠正常訪問了
4、安裝SSH Server和WebSocket Server: Coco
4.1 下載或Clone項目
# cd /opt # source /opt/py3/bin/activate # git clone https://github.com/jumpserver/coco.git && cd coco && git checkout master # echo "source /opt/py3/bin/activate" > /opt/coco/.env ## 進入coco目錄時將自動載入python虛擬環境 # 首次進入coco文件夾會有提示,按 y 便可 # Are you sure you want to allow this? (y/N) y
4.2 安裝依賴
# cd /opt/coco/requirements # yum -y install $(cat rpm_requirements.txt) # pip install -r requirements.txt
4.3 修改配置文件並運行
# cd /opt/coco # cp conf_example.py conf.py ## 若是coco與jumpserver分開部署,請手動修改conf.py # vi conf.py
## 注意: 配置文件是Python格式,不要用TAB,而要用空格 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # import os BASE_DIR = os.path.dirname(__file__) class Config: """ Coco config file, coco also load config from server update setting below """ # 項目名稱, 會用來向Jumpserver註冊, 識別而已, 不能重複 # NAME = "localhost" NAME = "coco" # Jumpserver項目的url, api請求註冊會使用, 若是Jumpserver沒有運行在127.0.0.1:8080,請修改此處 # CORE_HOST = os.environ.get("CORE_HOST") or 'http://127.0.0.1:8080' CORE_HOST = 'http://127.0.0.1:8080' # 啓動時綁定的ip, 默認 0.0.0.0 # BIND_HOST = '0.0.0.0' # 監聽的SSH端口號, 默認2222 # SSHD_PORT = 2222 # 監聽的HTTP/WS端口號,默認5000 # HTTPD_PORT = 5000 # 項目使用的ACCESS KEY, 默認會註冊,並保存到ACCESS_KEY_STORE中, # 若是有需求, 能夠寫到配置文件中, 格式access_key_id:access_key_secret # ACCESS_KEY = None # ACCESS KEY保存的地址, 默認註冊後會保存到該文件中 # ACCESS_KEY_STORE = os.path.join(BASE_DIR, 'keys', '.access_key') # 加密密鑰 # SECRET_KEY = None # 設置日誌級別 ['DEBUG', 'INFO', 'WARN', 'ERROR', 'FATAL', 'CRITICAL'] # LOG_LEVEL = 'INFO' # 日誌存放的目錄 # LOG_DIR = os.path.join(BASE_DIR, 'logs') # Session錄像存放目錄 # SESSION_DIR = os.path.join(BASE_DIR, 'sessions') # 資產顯示排序方式, ['ip', 'hostname'] # ASSET_LIST_SORT_BY = 'ip' # 登陸是否支持密碼認證 # PASSWORD_AUTH = True # 登陸是否支持祕鑰認證 # PUBLIC_KEY_AUTH = True # 和Jumpserver 保持心跳時間間隔 # HEARTBEAT_INTERVAL = 5 # Admin的名字,出問題會提示給用戶 # ADMINS = '' COMMAND_STORAGE = { "TYPE": "server" } REPLAY_STORAGE = { "TYPE": "server" } config = Config() # ./cocod start ## 後臺運行使用 -d 參數./cocod start -d ## 新版本更新了運行腳本,使用方式./cocod start|stop|status|restart 後臺運行請添加-d參數
## 啓動成功後去Jumpserver會話管理-終端管理(http://10.10.10.128:8080/terminal/terminal/)接受coco的註冊,若是頁面不正常能夠等部署完成後再處理
5、安裝Web Terminal前端: Luna
5.1 解壓 Luna
## Luna已改成純前端,須要Nginx來運行訪問 # cd /opt # wget https://github.com/jumpserver/luna/releases/download/1.3.2/luna.tar.gz # tar xvf luna.tar.gz # chown -R root:root luna
6、安裝Windows支持組件(若是不須要管理windows資產,能夠直接跳過這一步)
由於手動安裝guacamole組件比較複雜,這裏提供打包好的docker使用, 啓動guacamolehtml
6.1 Docker安裝
# yum remove docker-latest-logrotate docker-logrotate docker-selinux dockdocker-engine # yum install -y yum-utils device-mapper-persistent-data lvm2 # 添加docker官方源 # yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo # yum makecache fast # yum install docker-ce # 國內部分用戶可能沒法鏈接docker官網提供的源,這裏提供阿里雲的鏡像節點供測試使用 # yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo # rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg # yum makecache fast # yum -y install docker-ce # systemctl start docker # systemctl status docker
6.2 配置Docker鏡像加速器
## 這裏使用阿里雲鏡像加速器 Docker客戶端版本需大於1.10.0 ## 經過修改daemon配置文件/etc/docker/daemon.json來使用加速器 # mkdir -p /etc/docker # tee /etc/docker/daemon.json <<-'EOF' { "registry-mirrors": ["https://2x42e901.mirror.aliyuncs.com"] } EOF # systemctl daemon-reload # systemctl restart docker
## 此步驟非必須,可是速度你懂的...
6.3 啓動Guacamole
這裏所須要注意的是guacamole暴露出來的端口是 8081,若與主機上其餘端口衝突請自定義前端
修改下面docker run裏的JUMPSERVER_SERVER參數,填上Jumpserver的url地址python
啓動成功後去Jumpserver會話管理-終端管理(http://10.10.10.128:8080/terminal/terminal/)接受註冊,若是頁面顯示不正常能夠等部署完成後再處理mysql
# docker run --name jms_guacamole -d \ -p 8081:8080 -v /opt/guacamole/key:/config/guacamole/key \ -e JUMPSERVER_KEY_DIR=/config/guacamole/key \ -e JUMPSERVER_SERVER=http://<填寫jumpserver的url地址>:8080 \ registry.jumpserver.org/public/guacamole:latest
7、配置Nginx整合各組件
7.1 安裝Nginx根據喜愛選擇安裝方式和版本
# yum -y install nginx
7.2 修改Nginx配置文件
# vim /etc/nginx/nginx.conf ... 省略 # 把默認server配置塊改爲這樣 server { listen 80; # 代理端口,之後將經過此端口進行訪問,再也不經過8080端口 proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; location /luna/ { try_files $uri / /index.html; alias /opt/luna/; } location /media/ { add_header Content-Encoding gzip; root /opt/jumpserver/data/; } location /static/ { root /opt/jumpserver/data/; } location /socket.io/ { proxy_pass http://localhost:5000/socket.io/; # 若是coco安裝在別的服務器,請填寫它的ip proxy_buffering off; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } location /guacamole/ { proxy_pass http://localhost:8081/; # 若是guacamole安裝在別的服務器,請填寫它的ip proxy_buffering off; proxy_http_version 1.1; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $http_connection; access_log off; client_max_body_size 100m; # Windows 文件上傳大小限制 } location / { proxy_pass http://localhost:8080; # 若是jumpserver安裝在別的服務器,請填寫它的ip } } ... 省略
7.3 運行Nginx
# nginx -t ## 確保配置沒有問題, 有問題請先解決
# systemctl start nginx
# systemctl enable nginx
7.4 開始使用Jumpserver
## 檢查應用是否已經正常運行 # cd /opt/jumpserver # ./jms status ## 肯定jumpserver已經運行,若是沒有運行請從新啓動jumpserver # cd /opt/coco # ./cocod status ## 肯定coco已經運行,若是沒有運行請從新啓動coco ## 若是安裝了Guacamole # docker ps ## 檢查容器是否已經正常運行,若是沒有運行請從新啓動Guacamole
服務所有啓動後,訪問 http://10.10.10.128,訪問Nginx代理的端口,不要再經過8080端口訪問linux
默認帳號: admin 密碼: adminnginx
若是部署過程當中沒有接受應用的註冊,須要到Jumpserver會話管理-終端管理 接受Coco、Guacamole等應用的註冊。git
7.5 客戶端登陸Jumpserver
若是登陸客戶端是macOS或Linux ,登陸語法以下 # ssh -p2222 admin@192.168.244.144 # sftp -P2222 admin@192.168.244.144 密碼: admin 若是登陸客戶端是Windows,Xshell Terminal登陸語法以下 # ssh admin@192.168.244.144 2222 # sftp admin@192.168.244.144 2222 密碼: admin 若是能登錄表明部署成功 ## sftp默認上傳的位置在資產的/tmp目錄下 ## windows拖拽上傳的位置在資產的Guacamole RDP上的G目錄下
部署完成
若是有安裝和使用上的疑問請訪問Jumpserver官方網站http://www.jumpserver.orggithub
相關文章
- 1. jumpserver的部署
- 2. 部署jumpserver
- 3. Jumpserver安裝部署
- 4. JumpServer部署使用
- 5. 部署Jumpserver環境
- 6. 分佈式部署文檔 - jumpserver 部署
- 7. 基於docker-compose部署jumpserver
- 8. Jumpserver部署與安裝
- 9. Centos6.8部署jumpserver(完整版)
- 10. jumpserver安裝與部署
- 更多相關文章...
- • Maven 自動化部署 - Maven教程
- • ionic 頭部與底部 - ionic 教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • Docker容器實戰(一) - 封神Server端技術
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. js中 charCodeAt
- 2. Android中通過ViewHelper.setTranslationY實現View移動控制(NineOldAndroids開源項目)
- 3. 【Android】日常記錄:BottomNavigationView自定義樣式,修改點擊後圖片
- 4. maya 文件檢查 ui和數據分離 (一)
- 5. eclipse 修改項目的jdk版本
- 6. Android InputMethod設置
- 7. Simulink中Bus Selector出現很多? ? ?
- 8. 【Openfire筆記】啓動Mac版Openfire時提示「系統偏好設置錯誤」
- 9. AutoPLP在偏好標籤中的生產與應用
- 10. 數據庫關閉的四種方式
歡迎關注本站公眾號,獲取更多信息
相關文章