一、JumpServer基本概述
1.1、什么是跳板機?
跳板機就是一台服務器,具備公網和內網,我們的開發人員或者運維人員,要想維護內部集群服務時,需要先統一登陸到跳板機這台服務器,然后在通過跳板機的內網登陸目標集群服務器
1.2、跳板機的缺陷
沒有實現對運維人員操作行為的控制和審計,使用跳板機的過程中還是會出現誤操作,違規i操作導致故障,一旦出現操作事故很難快速定位到原因和責任人;此時堡壘機就誕生了。
1.3、什么是堡壘機
堡壘機其實是基於跳板機基礎之上,能夠實現運維更加安全的操作目標集群服務器,提供安全保證。
較於跳板機優點:
1、資產集中管理(統一管理)
2、審計,記錄,視頻回放操作記錄 3、限制如rm,dd等危險命令的執行 4、限制登陸目標服務器的身份權限
1.4、為什么要使用堡壘機
首先,堡壘機提供了運維安全審計的4A規范:
Authentication:身份鑒別,防止身份冒用和復用
Authorization :授權控制,防止內部誤操作和權限濫用
Accouting:賬號管理,人員和資產的管理
Auditing:安全審計,追溯和分析事故的依據
1.5、什么是Jumpserver
1、JumpServer 是全球首款完全開源的堡壘機, 使用 GNU GPL v2.0 開源協議, 是符合 4A 的專業運維審計系統。
2、JumpServer 使用 Python / Django 進行開發, 遵循 Web 2.0 規范, 配備了業界領先的 Web Terminal 解決方案, 交互界面美觀、用戶體驗好。 3、JumpServer 采納分布式架構, 支持多機房跨區域部署, 中心節點提供 API, 各機房部署登錄節點, 可橫向擴展、無並發訪問限制。 4、JumpServer 現已支持管理 SSH、 Telnet、 RDP、 VNC 協議資產。
【4A規范】
【發展歷程】
1.6、Jumpserver主要組件
1、Jumpserver:提供管理后台,管理員可以通過web頁面進行資產管理,用戶管理和資產授權等操作。
2、koko:提供SSH server和web Termianal server方式登陸資產
3、Lina Luna:提供web前端頁面,后續會將整合到Lina中
4、Guacamole:提供RDP功能,用戶可通過該方式登陸windows資產。(暫時只能通過 web Terminal來訪問)
1.7、Jumpserver特色優勢
1、開源: 零門檻,線上快速獲取和安裝;
2、分布式: 輕松支持大規模並發訪問;
3、無插件: 僅需瀏覽器,極致的 Web Terminal 使用體驗;
4、多雲支持: 一套系統,同時管理不同雲上面的資產;
5、雲端存儲: 審計錄像雲端存儲,永不丟失;
6、多租戶: 一套系統,多個子公司和部門同時使用。
1.8、Jumpserver基礎架構圖
Jumpserver作用
1 產品解耦程度高,便於后期分布式部署與橫向擴展 2 集中統一管理全國各地服務器
二、JumpServer安裝配置(官方安裝部署文檔)
這里我采用最快捷的方式安裝(自動部署)
1、安裝python3.x
yum install python3 python3-devel
2、創建 Python 虛擬環境,並且載入 Python 虛擬環境
[root@jumpserver-168-182-149 ~]# mkdir /opt
[root@jumpserver-168-182-149 ~]# python3.6 -m venv /opt/py3
[root@jumpserver-168-182-149 ~]# source /opt/py3/bin/activate
(py3) [root@jumpserver-168-182-149 ~]#
# 退出當前虛擬環境
deactivate
3、安裝
cd /opt
curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.10.2/quick_start.sh | bash
注意:如果下載失敗了,多執行幾次就行,網絡問題導致的
安裝完成
>>> 安裝配置 JumpServer
1. 配置網絡 是否需要支持 IPv6? (y/n) (默認為 n): 完成 2. 配置加密密鑰 SECRETE_KEY: ZWI0ZTRkNTYtMjU3Mi0zMGJlLWZkNmYtNmNjNzcwODQ1NzEz BOOTSTRAP_TOKEN: ZWI0ZTRkNTYtMjU3 完成 3. 配置持久化目錄 是否需要自定義持久化存儲, 默認將使用目錄 /opt/jumpserver? (y/n) (默認為 n): 完成 4. 配置 MySQL 是否使用外部 MySQL? (y/n) (默認為 n): 完成 5. 配置 Redis 是否使用外部 Redis? (y/n) (默認為 n): 完成 >>> 安裝完成了 1. 可以使用如下命令啟動, 然后訪問 ./jmsctl.sh start 2. 其它一些管理命令 ./jmsctl.sh stop ./jmsctl.sh restart ./jmsctl.sh backup ./jmsctl.sh upgrade 更多還有一些命令, 你可以 ./jmsctl.sh --help 來了解 3. Web 訪問 http://192.168.182.244:8080 https://192.168.182.244:8443 默認用戶: admin 默認密碼: admin 4. SSH/SFTP 訪問 ssh admin@192.168.182.244 -p2222 sftp -P2222 admin@192.168.182.244 5. 更多信息 我們的官網: https://www.jumpserver.org/ 我們的文檔: https://docs.jumpserver.org/
4、啟動服務
cd /opt/jumpserver-installer-v2.10.2/
./jmsctl.sh start
5、訪問(http://192.168.182.244:8080)
默認賬號/密碼:admin/admin
但是第一次登錄進去需要修改默認密碼,我這里設置為(P@ssw0rd)
重新登錄即可。