堡垒机jumpserver的部署生产环境方案

1.1 Jumpserver

1.1.1 简单的说明

Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统，实现了跳板机应有的功能。基于ssh协议来管理，客户端无需安装agent

1.1.2 特点

完全开源，GPL授权
python编写，容易再次开发
实现了跳板机基本功能，认证、授权、审计
集成了Ansible，批量命令等
支持WebTerminal
Bootstrap编写，界面美观
自动收集硬件信息
录像回放
命令搜索
实时监控
批量上传下载

1.2 jumpserver 3.0 安装

相对于 jumpserver 2.0 版本，在新的版本 3.0 中取消了LDAP授权，取而代之的是ssh进行推送；界面也有所变化，功能更完善，安装更简单，不像 2.0 的版本，难住了好多人。下面通过两台主机来搭建 jumpserver堡垒机！
1.2.1 环境：
在客户端 统一创建一个公共的账户为guoxiangfu
设置免密码登录在visudo 如：guoxiangfu        ALL=(ALL)       NOPASSWD: ALL

[root@jumpserver ~]# cat /etc/redhat-release
CentOS release 6.9 (Final
关闭 iptables，关闭 selinux

1.2.2 安装依赖包

yum -y install epel-release
yum clean all && yum makecache
yum -y update

yum -y install Git python-pip MySQL-devel gcc automake autoconf python-devel vim sshpass lrzsz readline-devel

1.2.3 下载 jumpserver

打开https://github.com/jumpserver/jumpserver.git

   下载即可

下载即可

1.2.3.1  上传已经下载的文件

使用rz 命令上传

1.2.4 Jumserver安装

1.2.4.1  解压安装包

unzip jumpserver-master.zip

1.2.4.2  创建软连接

ln -s /opt/jumpserver-0.3.0-beta /opt/jumpserver

1.2.4.3  执行快速安装脚本

cd /opt/jumpserver/install/
pip install -r requirements.txt

1.2.4.4  报错信息处理

yum -y install MySQL-python
 mysql-devel

1.2.4.5  重新执行

pip install -r requirements.txt

1.2.4.6  查看安装的包

pip freeze

1.2.4.7  执行脚本安装

python install.py
输入jumpserver的地址，默认为：”192.168.1.200”，回车即可。
是否安装mysql：选择”y”进行安装

MySQL 启动后会要求用户输入 邮件服务器及账户（后期用来发送用户名、ssh pass、web pass、ssh key）

输入smtp信息之后发现报错了，是python的pycrypto模块问题，需要卸载重装：
pip uninstall pycrypto
easy_install pycrypto

安装之后继续 python install.py 进行安装，并且输入 web管理员用户名和管理员密码，ok

运行 crontab，定期处理失效连接，定期更新资产信息
cd /opt/jumpserver
python manage.py crontab add

注：
1）根据提示输入相关信息，完成安装，安装完成后，请访问web，继续查看后续文档
2）如果启动失败，请返回上层目录，手动运行 ./service.sh start 启动
3）如果 ./service.sh start 启动失败
cd /opt/jumpserver
python manage.py runserver 0.0.0.0:80
python run_websocket.py 
4）如果启动失败，可能是由于80端口和3000端口已经被占用，或者数据库账号密码不对，请检查

1.2.5 Web登录

http://192.168.11.150/login/

1.2.5.1  更新代码

cd /opt/jumpserver
git pull

1.3 jumpserver 堡垒机配置使用

1.3.1 用户管理

1.3.1.1  添加用户

点击用户管理 —> 查看用户 —> 添加用户

1.3.1.2  输入要添加的用户名，姓名，权限，Mail，并且发送邮件 —> 保存

保存后会弹出下图

1.3.1.3  查看添加的用户

1.3.1.4  查看用户邮件

邮件中包含了用户名，权限，web密码，ssh 密钥密码，以及密钥下载地址。

1.3.2 添加用户组

1.3.2.1  点击用户管理 —> 查看用户组 —> 添加用户组

1.3.2.2  添加新的小组-运维部

1.3.2.3  查看添加的小组

1.3.3 资产管理

1.3.3.1  添加资产组

点击资产管理 —> 查看资产组 —> 添加主机组

1.3.3.2  输入组名称，并且输入描述组用途

1.3.3.3  添加资产

点击资产管理 —> 查看资产 —> 添加资产

1.3.3.4  输入主机名，主机IP，管理用户名（管理员用户，主机中必须存在的哦~ 可以是root），端口，资产组 —> 提交保存

1.3.3.5  添加机房

点击资产管理 —> 查看机房 —> 添加机房

1.3.4 权限管理

1.3.4.1  Sudo

点击权限管理 —> sudo —> 添加别名

1.3.4.2  输入别名，系统命令，备注 —> 点击保存

1.3.4.3  添加系统用户

1.3.4.4  输入用户名，密码，管理的sudo及备注 —> 单击保存

1.3.4.5  创建好系统之后，单击推送，将用户名、密码、sudo的信息推送到服务器

1.3.4.6  选择系统用户，资产组 —> 单击保存

1.3.4.7  推送成功

1.3.5 授权规则

1.3.5.1  点击授权管理 —> 授权规则 —> 添加规则

1.3.5.2  输入授权名称，用户/用户组，资产/资产组，系统用户，备注 —> 单击保存

1.4 登录

这时候创建已经完成，下一步用户”郭祥富”通过web和密钥登录堡垒机 192.168.1.200，并实现跳转到服务器 192.168.1.210

1.4.1 通过web登录

1.4.1.1  可以看到用户ID，用户名，权限，key，最后登录，用户组，授权主机数，以及主机信息

1.4.1.2  单击查看主机 —> 连接

1.4.1.3  连接成功，可以对该主机进行操作。

1.4.2 通过ssh登录

1.4.2.1  通过邮件中收到的地址，下载key

1.4.2.2  点击工具 —> 用户密钥管理者

1.4.2.3  单击导入 —> 输入用户名，密码

1.4.2.4  连接 jumpserver 堡垒机 192.168.11.150，输入密钥密码进行登录

1.4.2.5  登录成功！！ 从授权的列表中连接到服务器 192.168.11.150

1.4.2.6  登录报错

1.4.2.7  错误处理是因为 此秘钥没有权限

在jumpserver 服务器上给jumpserver权限
chmod 777 /opt/jumpserver/keys/user/guoxiangfu_guoxiangfu.pem

1.4.2.8  再重新登录

打赏 支付宝打赏 微信打赏