企业堡垒机-jumpserver
实现jumpserver堡垒机做管理
架构图:
实现原理:A主机安装Docker环境,作为jumpserver堡垒机,后端B主机作为MySQL和Redis服务器,MySQL和Redis对普通用户的账号和密码做认证,如果账号密码不正确,不让其登陆jumpserver,如果A主机挂掉,不会丢失数据,因为数据都在MySQL和Redis上,此时只需要将B主机环境搭建和A主机一致即可。
环境准备:
A主机:jumpseerver IP地址:192.168.7.100
B主机:MySQL/Redis IP地址:192.168.7.101
一、A主机安装docker软件
docker容器进行安装jumpserver:为了使用最新版本的docker,需要在阿里云上下载最新的rpm包:
1、官方下载路径:https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
[root@centos-7 yum.repos.d]# cd /etc/yum.repos.d/ [root@centos-7 yum.repos.d]# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo #下载yum源仓库 [root@centos-7 yum.repos.d]# yum install docker-ce -y #安装docker-ce软件 [root@centos-7 yum.repos.d]#systemctl start docker
2、启动docker服务,并下载对应的docker-ce包
下载的指导书网址:https://jumpserver.readthedocs.io/zh/master/dockerinstall.html
配置一个加速器,指向阿里云的下载路径,会下载docker镜像比较快,没有加速器就算了
[root@centos-7 ~]# vim /etc/docker/daemon.json { "registry-mirrors": ["https://9916wlow.mirror.aliyuncs.com"] }
重启docker服务,并下载docker镜像
[root@centos-7 ~]# systemctl restart docker [root@centos-7 yum.repos.d]# docker pull jumpserver/jms_all:latest #下载docker镜像
二、B主机安装数据库
1、安装mariadb数据库
[root@centos-7 yum.repos.d]# yum install centos-release-openstack-rocky.noarch -y #安装openstack包,自带mariadb最新版包,此次是为了方便,最好是二进制编译安装 [root@centos-7 yum.repos.d]# yum install mariadb-server -y #安装mariadb包
2、启动mariadb数据库,创建账号并授权
[root@centos-7 yum.repos.d]# mysql Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 8 Server version: 10.3.10-MariaDB MariaDB Server Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> create database jumpserver default charset 'utf8'; #创建账号 Query OK, 1 row affected (0.000 sec) MariaDB [(none)]> grant all on jumpserver.* to 'jumpserver'@'%' identified by 'centos'; #授权 Query OK, 0 rows affected (0.001 sec) MariaDB [(none)]>
3、最好在其他客户端验证是否可以连接mysql数据库
[root@centos-7 ~]# mysql -ujumpserver -pcentos -h192.168.7.100 #远程登录数据库服务,此时可以看到可以登录 Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 9 Server version: 10.3.10-MariaDB MariaDB Server Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> show databases ; +--------------------+ | Database | +--------------------+ | information_schema | | jumpserver | +--------------------+ 2 rows in set (0.001 sec) MariaDB [(none)]>
三、B主机安装redis服务
[root@centos-7 ~]# yum install redis -y #安装redis [root@centos-7 ~]# vim /etc/redis.conf #修改配置文件 bind 0.0.0.0 #端口绑定到0.0.0.0 requirepass centos #密码设置为mariadb数据库的密码
1、启动redis服务,并设置为开机启动
[root@centos-7 ~]# systemctl start redis [root@centos-7 ~]# systemctl enable redis
四、A主机创建docker容器
1、生成随机加密秘钥并创建docker容器
# 生成随机加密秘钥, 勿外泄 $ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bashrc; echo $SECRET_KEY; else echo $SECRET_KEY; fi $ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`cat /dev/urandom | tr -dc A-Za-z0-9 | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bashrc; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi $ docker run --name jms_all -d -p 80:80 -p 2222:2222 -e SECRET_KEY=$SECRET_KEY -e BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN jumpserver/jms_all:latest # macOS 生成随机 key 可以用下面的命令 $ if [ "$SECRET_KEY" = "" ]; then SECRET_KEY=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 50`; echo "SECRET_KEY=$SECRET_KEY" >> ~/.bash_profile; echo $SECRET_KEY; else echo $SECRET_KEY; fi $ if [ "$BOOTSTRAP_TOKEN" = "" ]; then BOOTSTRAP_TOKEN=`LC_CTYPE=C tr -dc A-Za-z0-9 < /dev/urandom | head -c 16`; echo "BOOTSTRAP_TOKEN=$BOOTSTRAP_TOKEN" >> ~/.bash_profile; echo $BOOTSTRAP_TOKEN; else echo $BOOTSTRAP_TOKEN; fi
2、创建docker容器
[root@centos-7 ~]# mkdir /opt/jumpserver #创建一个目录 #创建容器的命令如下: docker run --name linux_docker1 -d \ -v /opt/jumpserver:/opt/jumpserver/data/media \ -p 80:80 \ -p 2222:2222 \ -e SECRET_KEY=6oNPRN7NCEWnkmB45XCRmozmzdvZ93KGQoz8PmZvDxAPPnxDRw \ -e BOOTSTRAP_TOKEN=xPSBe9nnQc8l3GOy \ -e DB_HOST=192.168.7.101 \ -e DB_PORT=3306 \ -e DB_USER=jumpserver \ -e DB_PASSWORD=centos \ -e DB_NAME=jumpserver \ -e REDIS_HOST=192.168.7.101 \ -e REDIS_PORT=6379 \ -e REDIS_PASSWORD=centos \ jumpserver/jms_all:latest
3、查看docker状态
[root@openstack-2 yum.repos.d]# docker ps #查看docker状态 CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 103cc0190e3b jumpserver/jms_all:latest "entrypoint.sh" 7 seconds ago Up 4 seconds 0.0.0.0:80->80/tcp, 0.0.0.0:2222->2222/tcp linux_docker1 [root@openstack-2 yum.repos.d]# docker logs -f 103cc0190e3b #后面加上查到的ID号,对docker进行初始化
查看此时的端口号是:2222
3、在网页进行登录jumpserver堡垒机,默认用户名是admin,密码是admin。
五、在jumpserver创建组和用户
1、创建组
2、创建用户
① 点击页面左侧"用户列表"菜单下的"用户列表",进入用户列表页面。
② 点击页面左上角"创建用户"按钮,进入创建用户页面,填写账户,角色安全,个人等信息。
其中,用户名即 Jumpserver 登录账号。用户组是用于资产授权,当某个资产对一个用户组授权后,这个用户组下面的所有用户就都可以使用这个资产了。角色用于区分一个用户是管理员还是普通用户。
六、创建资产
1、创建linux资产
(1)创建系统账号
① 系统用户是 Jumpserver 跳转登录资产时使用的用户,可以理解为登录资产用户,如 web, sa, dba(ssh web@some-host), 而不是使用某个用户的用户名跳转登录服务器(ssh xiaoming@some-host); 简单来说是 用户使用自己的用户名登录Jumpserver, Jumpserver使用系统用户登录资产。
② 系统用户的 Sudo 栏填写允许当前系统用户免sudo密码执行的程序路径,如默认的/sbin/ifconfig,意思是当前系统用户可以直接执行 ifconfig 命令或 sudo ifconfig 而不需要输入当前系统用户的密码,执行其他的命令任然需要密码,以此来达到权限控制的目的。
Sudo /bin/su # 当前系统用户可以免sudo密码执行sudo su命令(也就是可以直接切换到root,生产环境不建议这样操作) Sudo /usr/bin/git,/usr/bin/php,/bin/cat,/bin/more,/bin/less,/usr/bin/head,/usr/bin/tail # 当前系统用户可以免sudo密码执行git php cat more less head tail # 此处的权限应该根据使用用户的需求汇总后定制,原则上给予最小权限即可。
④ 系统用户创建时,如果选择了自动推送 Jumpserver 会使用 Ansible 自动推送系统用户到资产中,如果资产(交换机、Windows )不支持 Ansible, 请手动填写账号密码。
Linux 系统协议项务必选择 ssh 。如果用户在系统中已存在,请去掉自动生成密钥、自动推送勾选。
(2)创建管理用户
管理用户是服务器的 root,或拥有 NOPASSWD: ALL sudo 权限的用户,Jumpserver 使用该用户来推送系统用户、获取资产硬件信息等。
注意:资产管理里面的所以信息,都是和资产有关,包括创建的所有用户;jumpserver的root用户密码,只给jumpserver管理员登录安装了jumpserver的服务器使用。除此之外不用在任何地方;不用搞混了(我就搞混了)
密码是通过ssh远程连接需要输入主机root的密码。
(3)创建资产
点击以下地方,可以对当前创建的资产进行测试:
出现测试任务结束,说明此时的资产没问题:
(4)进行资产授权
① 节点,对应的是资产,代表该节点下的所有资产。
② 用户组,对应的是用户,代表该用户组下所有的用户。
③ 系统用户,及所选的用户组下的用户能通过该系统用户使用所选节点下的资产。
④ 节点,用户组,系统用户是一对一的关系,所以当拥有 Linux、Windows 不同类型资产时,应该分别给 Linux 资产和 Windows 资产创建授权规则。
将创建的系统用户(www)授权于创建的用户dev组,而dev组内包含zhangxiaoming用户。
七、用户使用资产
用户登录 Jumpserver
创建授权规则的时候,选择了用户组,所以这里需要登录所选用户组下面的用户才能看见相应的资产。
用户正确登录后的页面:
用户使用资产
(1)连接资产
① 点击页面左边的 Web 终端:
② 打开资产所在的节点:
③ 双击资产名字,就连上资产了:
如果显示连接超时,请检查为资产分配的系统用户用户名和密钥是否正确,是否正确选择 Windows 操作系统,协议 rdp,端口3389,是否正确选择 Linux 操作系统,协议 ssh,端口22,以及资产的防火墙策略是否正确配置等信息。接下来,就可以对资产进行操作了。
④ 测试
创建一个test
在服务器上,确实有test 文件
(2)连接windows 资源
断开资产
点击页面顶部的 Server 按钮会弹出选个选项,第一个断开所选的连接,第二个断开所有连接。
会话管理
可以查看普通用户登录到指定的账号,能回放此用户操作的内容,防止某些心存歹意之人进行其他操作。