jumpserver跳板机
1.1跳板机
跳板机就是一台服务,开发或者运维人员在维护的过程中首先要统一登录到这台机器上,如何在登录到目标设备进行维护或操作
跳板机的缺点
1.没有实现对运维人员的行为控制和审计
服务器出现了问题,无法追责
1.2 堡垒机介绍
在一个特定网络环境下,为了保障网络和数据不受外界入侵和破坏,而运用各种技术手段实时收集和监控网咯环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
我们又把堡垒机叫做跳板机,简易的跳板机功能简单,主要核心功能时远程登录服务器和日志审计。
比较优秀的开源软件jumpserver,认证、授权、审计、自动化、资产管理
商业堡垒机:齐治,CitrixXenApp
1.3 搭建简易堡垒机
具备堡垒机的条件时,该机器有公网和私网IP,其中私网和机房其他机器互通
设计堡垒机思路
-
跳板机安全设置(iptables端口限制、登录限制sshd_config)
-
用户、目录权限限制
1.4Jumpserver概述
Jumpserver是一款使用python,Django开发的开源跳板机系统,为了互联网企业提供了双因子认证,授权,审计自动化运维等功能。
官方地址:http://www.jumpserver.org/
1.5 jumpserver可以实现的功能
1.6搭建Junmpserver跳板机/堡垒机
组件说明
- Jumpserver 为管理后台, 管理员可以通过 Web 页面进行资产管理、用户管理、资产授权等操作, 用户可以通过 Web 页面进行资产登录, 文件管理等操作
- koko 为 SSH Server 和 Web Terminal Server 。用户可以使用自己的账户通过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产
- Coco 为 SSH Server 和 Web Terminal Server 。用户可以使用自己的账户通过 SSH 或者 Web Terminal 访问 SSH 协议和 Telnet 协议资产
- Luna 为 Web Terminal Server 前端页面, 用户使用 Web Terminal 方式登录所需要的组件
- Guacamole 为 RDP 协议和 VNC 协议资产组件, 用户可以通过 Web Terminal 来连接 RDP 协议和 VNC 协议资产 (暂时只能通过 Web Terminal 来访问)
端口说明
- Jumpserver 默认端口为 8080/tcp 配置文件 jumpserver/config.yml
- koko 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在 koko/config.yml
- coco 默认 SSH 端口为 2222/tcp, 默认 Web Terminal 端口为 5000/tcp 配置文件在coco/config.yml
- Guacamole 默认端口为 8081/tcp, 配置文件 /config/tomcat9/conf/server.xml
- Nginx 默认端口为 80/tcp
- Redis 默认端口为 6379/tcp
- Mysql 默认端口为 3306/tcp
服务器环境
[root@oldboyedu nginx]# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
#jumpserver版本
jumpserver:1.5.2
第一个历程:安装依赖关系
[root@oldboyedu ~]# yum -y install wget gcc epel-release git
第二个历程:安装缓存数据库(redis)
[root@oldboyedu ~]# yum -y install redis
[root@oldboyedu ~]# systemctl start redis
[root@oldboyedu opt]# systemctl enable redis
第三个历程:安装mysql数据库
[root@oldboyedu ~]# yum -y install mariadb mariadb-devel mariadb-server
[root@oldboyedu ~]# systemctl start mariadb
[root@zabbix ~]# systemctl enable mariadb
第四个历程:创建数据库Jumpserver并且授权
[root@oldboyedu ~]# mysql
MariaDB [(none)]> create database jumpserver default charset 'utf8';
MariaDB [(none)]> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'aaa123456';
MariaDB [(none)]> FLUSH PRIVILEGES;
第五个历程:安装python
编译安装
- 安装依赖包
# yum -y install wget sqlite-devel xz gcc automake zlib-devel openssl-devel epel-release git
- 编译安装
# wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tar.xz
# tar xvf Python-3.6.1.tar.xz && cd Python-3.6.1
# ./configure && make && make install
yum安装
[root@oldboyedu ~]# yum -y install python36 python-devel
[root@oldboyedu ~]# cd /opt/
# 配置并载入 Python3 虚拟环境
[root@oldboyedu opt]# python3.6 -m venv py3
[root@oldboyedu opt]# source /opt/py3/bin/activate
(py3) [root@oldboyedu opt]#
# 退出虚拟环境可以使用 deactivate 命令
第六个历程:下载jumpserver
(py3) [root@oldboyedu opt]# git clone --depth=1 https://github.com/jumpserver/jumpserver.git
(py3) [root@oldboyedu jumpserver]# cd /opt/jumpserver/
(py3) [root@oldboyedu jumpserver]#
#切换jumpserver主版本
(py3) [root@oldboyedu jumpserver]# git checkout master
已经位于 'master'
(py3) [root@oldboyedu jumpserver]#
第七个历程:安装jumpserver依赖包
(py3) [root@oldboyedu jumpserver]# cd /opt/jumpserver/requirements/
(py3) [root@oldboyedu requirements]# yum -y install $(cat rpm_requirements.txt)
第八个历程:安装jumpserver的python库依赖
(py3) [root@oldboyedu requirements]# pip install --upgrade pip setuptools
(py3) [root@oldboyedu requirements]# pip install -r requirements.txt -i https://pypi.douban.com/simple/
第九个历程:修改Jumpserver配置文件
(py3) [root@oldboyedu jumpserver]# cp config_example.yml config.yml
(py3) [root@oldboyedu jumpserver]# sed -i "s/SECRET_KEY:/SECRET_KEY: aaa123456/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]# sed -i "s/BOOTSTRAP_TOKEN:/BOOTSTRAP_TOKEN: aaa123456/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]# sed -i "s/# DEBUG: true/DEBUG: false/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]# sed -i "s/# LOG_LEVEL: DEBUG/LOG_LEVEL: ERROR/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]# sed -i "s/# SESSION_EXPIRE_AT_BROWSER_CLOSE: false/SESSION_EXPIRE_AT_BROWSER_CLOSE: true/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]#
(py3) [root@oldboyedu jumpserver]# sed -i "s/DB_PASSWORD: /DB_PASSWORD: aaa123456/g" /opt/jumpserver/config.yml
(py3) [root@oldboyedu jumpserver]#
(py3) [root@oldboyedu jumpserver]# cat config.yml
# SECURITY WARNING: keep the secret key used in production secret!
# 加密秘钥 生产环境中请修改为随机字符串,请勿外泄, 可使用命令生成
# $ cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 49;echo
SECRET_KEY: aaa123456
# SECURITY WARNING: keep the bootstrap token used in production secret!
# 预共享Token coco和guacamole用来注册服务账号,不在使用原来的注册接受机制
BOOTSTRAP_TOKEN: aaa123456
# Development env open this, when error occur display the full process track, Production disable it
# DEBUG 模式 开启DEBUG后遇到错误时可以看到更多日志
DEBUG: false
# DEBUG, INFO, WARNING, ERROR, CRITICAL can set. See https://docs.djangoproject.com/en/1.10/topics/logging/
# 日志级别
LOG_LEVEL: ERROR
# LOG_DIR:
# Session expiration setting, Default 24 hour, Also set expired on on browser close
# 浏览器Session过期时间,默认24小时, 也可以设置浏览器关闭则过期
# SESSION_COOKIE_AGE: 86400
SESSION_EXPIRE_AT_BROWSER_CLOSE: true
# Database setting, Support sqlite3, mysql, postgres ....
# 数据库设置
# See https://docs.djangoproject.com/en/1.10/ref/settings/#databases
# SQLite setting:
# 使用单文件sqlite数据库
# DB_ENGINE: sqlite3
# DB_NAME:
# MySQL or postgres setting like:
# 使用Mysql作为数据库
DB_ENGINE: mysql
DB_HOST: 127.0.0.1
DB_PORT: 3306
DB_USER: jumpserver
DB_PASSWORD: aaa123456
DB_NAME: jumpserver
# When Django start it will bind this host and port
# ./manage.py runserver 127.0.0.1:8080
# 运行时绑定端口
HTTP_BIND_HOST: 0.0.0.0
HTTP_LISTEN_PORT: 8080
# Use Redis as broker for celery and web socket
# Redis配置
REDIS_HOST: 127.0.0.1
REDIS_PORT: 6379
# REDIS_PASSWORD:
# REDIS_DB_CELERY: 3
# REDIS_DB_CACHE: 4
# Use OpenID authorization
# 使用OpenID 来进行认证设置
# BASE_SITE_URL: http://localhost:8080
# AUTH_OPENID: false # True or False
# AUTH_OPENID_SERVER_URL: https://openid-auth-server.com/
# AUTH_OPENID_REALM_NAME: realm-name
# AUTH_OPENID_CLIENT_ID: client-id
# AUTH_OPENID_CLIENT_SECRET: client-secret
# AUTH_OPENID_IGNORE_SSL_VERIFICATION: True
# AUTH_OPENID_SHARE_SESSION: False
#
# Use Radius authorization
# 使用Radius来认证
# AUTH_RADIUS: false
# RADIUS_SERVER: localhost
# RADIUS_PORT: 1812
# RADIUS_SECRET:
# OTP settings
# OTP/MFA 配置
# OTP_VALID_WINDOW: 0
# OTP_ISSUER_NAME: Jumpserver
(py3) [root@oldboyedu jumpserver]#
(py3) [root@oldboyedu jumpserver]# ./jms start all
第十个历程:下载coco
[root@oldboyedu ~]# cd /opt/
(py3) [root@oldboyedu opt]# git clone https://github.com/jumpserver/coco.git
第十一个历程:安装coco依赖包
(py3) [root@oldboyedu coco]# cd /opt/coco/requirements/
(py3) [root@oldboyedu requirements]# yum -y install $(cat rpm_requirements.txt)
第十二个历程:安装coco的python依赖包
(py3) [root@oldboyedu requirements]# pip install -r requirements.txt -i https://pypi.douban.com/simple/
第十三个历程:修改coco配置文件
(py3) [root@oldboyedu opt]# cd coco/
(py3) [root@oldboyedu coco]# cp config_example.yml config.yml
(py3) [root@oldboyedu coco]# sed -i 's/BOOTSTRAP_TOKEN: <PleasgeChangeSameWithJumpserver>/BOOTSTRAP_TOKEN: aaa123456/g' config.yml
(py3) [root@oldboyedu coco]# cat config.yml
# 项目名称, 会用来向Jumpserver注册, 识别而已, 不能重复
# NAME: {{ Hostname }}
# Jumpserver项目的url, api请求注册会使用
CORE_HOST: http://127.0.0.1:8080
# Bootstrap Token, 预共享秘钥, 用来注册coco使用的service account和terminal
# 请和jumpserver 配置文件中保持一致,注册完成后可以删除
BOOTSTRAP_TOKEN: aaa123456
# 启动时绑定的ip, 默认 0.0.0.0
# BIND_HOST: 0.0.0.0
# 监听的SSH端口号, 默认2222
# SSHD_PORT: 2222
# 监听的HTTP/WS端口号,默认5000
# HTTPD_PORT: 5000
# 项目使用的ACCESS KEY, 默认会注册,并保存到 ACCESS_KEY_STORE中,
# 如果有需求, 可以写到配置文件中, 格式 access_key_id:access_key_secret
# ACCESS_KEY: null
# ACCESS KEY 保存的地址, 默认注册后会保存到该文件中
# ACCESS_KEY_FILE: data/keys/.access_key
# 加密密钥
# SECRET_KEY: null
# 设置日志级别 [DEBUG, INFO, WARN, ERROR, FATAL, CRITICAL]
# LOG_LEVEL: INFO
# 日志存放的目录
# LOG_DIR: logs
# SSH白名单
# ALLOW_SSH_USER: all
# SSH黑名单, 如果用户同时在白名单和黑名单,黑名单优先生效
# BLOCK_SSH_USER:
# -
# 和Jumpserver 保持心跳时间间隔
# HEARTBEAT_INTERVAL: 5
# Admin的名字,出问题会提示给用户
# ADMINS: ''
# SSH连接超时时间 (default 15 seconds)
# SSH_TIMEOUT: 15
# 语言 [en,zh]
# LANGUAGE_CODE: zh
# SFTP的根目录, 可选 /tmp, Home其他自定义目录
# SFTP_ROOT: /tmp
# SFTP是否显示隐藏文件
# SFTP_SHOW_HIDDEN_FILE: false
# 是否复用和用户后端资产已建立的连接(用户不会复用其他用户的连接)
# REUSE_CONNECTION: true
(py3) [root@oldboyedu coco]#
(py3) [root@oldboyedu coco]# ./cocod start
第十四个历程:下载Luna
(py3) [root@oldboyedu opt]# wget https://demo.jumpserver.org/download/luna/1.5.2/luna.tar.gz
(py3) [root@oldboyedu opt]# tar xf luna.tar.gz
(py3) [root@oldboyedu opt]# chown -R root.root luna.tar.gz
(py3) [root@oldboyedu opt]#
第十五个历程:配置Nginx整合各组件
(py3) [root@oldboyedu opt]# cd /etc/nginx/
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# mkdir jumpserver
(py3) [root@oldboyedu nginx]# cat jumpserver/jumpserver.conf
server {
listen 80;
client_max_body_size 100m;
location /luna/ {
try_files $uri / /index.html;
alias /opt/luna/;
}
location /media/ {
add_header Content-Encoding gzip;
root /opt/jumpserver/data/;
}
location /static/ {
root /opt/jumpserver/data/;
}
location /socket.io/ {
proxy_pass http://localhost:5000/socket.io/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /coco/ {
proxy_pass http://localhost:5000/coco/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location /guacamole/ {
proxy_pass http://localhost:8081/;
proxy_buffering off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
}
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# grep -Ev '#|^$' nginx.conf.default >nginx.conf
(py3) [root@oldboyedu nginx]# cat nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
include /etc/nginx/jumpserver/jumpserver.conf;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
}
(py3) [root@oldboyedu nginx]#
(py3) [root@oldboyedu nginx]# systemctl restart nginx
重启nginx服务在浏览器输入:http://10.0.1.201
用户名:admin
密码:admin