宝塔搭建jumpserver开源堡垒机
JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v3.0 开源协议,是符合 4A 规范的运维安全审计系统。
JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。
JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
改变世界,从一点点开始。
- 环境准备
我们使用腾迅云服务器,操作系统为Centos 7.9安装宝塔:
yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec
然后进入宝塔面板绑定账号安装下列依赖软件
Nginx 1.18.0 MySQL 5.7 Redis 6.2.6 docker (可通过命令yum install docker) Docker管理器
打开redis软件的设置页面,将性能调整
中的bind条目改为刚刚查看到的服务器内网IP,这里172.17.0.11是内网IP 通过ip addr命令查看内网IP
打开宝塔面板的 数据库
选项卡,创建数据库。访问权限选择 这里小编选择了所有人 ,方便调试。
- 安装jumpserver 版本为
2.21.2
进入文件管理,在/www/wwwroot
目录下使用远程下载功能下载jumpserver代码包,下载地址如下。完成下载后点击解压
https://github.com/jumpserver/installer/releases/download/v2.21.2/jumpserver-installer-v2.21.2.tar.gz
打开 /www/wwwroot/jumpserver-installer-v2.21.2/config-example.txt
文件,参考 官方文档 根据自己的需要进行修改;也可以使用下面我的配置信息
# 以下设置如果为空系统会自动生成随机字符串填入
## 迁移请修改 SECRET_KEY 和 BOOTSTRAP_TOKEN 为原来的设置
## 完整参数文档 https://docs.jumpserver.org/zh/master/admin-guide/env/
## 安装配置, 可以使用华为云加速下载, arm64 用户需要注释掉 DOCKER_IMAGE_PREFIX
# DOCKER_IMAGE_PREFIX=swr.cn-south-1.myhuaweicloud.com
VOLUME_DIR=/www/wwwroot/jumpserver
DOCKER_DIR=/var/lib/docker
SECRET_KEY=
BOOTSTRAP_TOKEN=
LOG_LEVEL=ERROR
## MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置 MySQL, 请输入正确的 MySQL 信息
USE_EXTERNAL_MYSQL=1
DB_HOST=127.0.0.1
DB_PORT=3306
DB_USER=jumpserver
DB_PASSWORD=
DB_NAME=jumpserver
## Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置 Redis, 请输入正确的 Redis 信息
USE_EXTERNAL_REDIS=1
REDIS_HOST=服务器内网IP
REDIS_PORT=6379
REDIS_PASSWORD=
## Compose 项目设置, 如果 192.168.250.0/24 网段与你现有网段冲突, 请修改然后重启 JumpServer
COMPOSE_PROJECT_NAME=jms
COMPOSE_HTTP_TIMEOUT=3600
DOCKER_CLIENT_TIMEOUT=3600
DOCKER_SUBNET=192.168.250.0/24
## IPV6 设置, 容器是否开启 ipv6 nat, USE_IPV6=1 表示开启, 为 0 的情况下 DOCKER_SUBNET_IPV6 定义不生效
USE_IPV6=0
DOCKER_SUBNET_IPV6=fc00:1010:1111:200::/64
## Nginx 配置
HTTP_PORT=8080
SSH_PORT=2222
RDP_PORT=3389
## HTTPS 配置, 参考 https://docs.jumpserver.org/zh/master/admin-guide/proxy/ 配置
# USE_LB=1
# HTTPS_PORT=443
# SERVER_NAME=your_domain_name
# SSL_CERTIFICATE=your_cert
# SSL_CERTIFICATE_KEY=your_cert_key
## Task 配置, 是否启动 jms_celery 容器, 单节点必须开启
USE_TASK=1
## XPack, USE_XPACK=1 表示开启, 开源版本设置无效
USE_XPACK=0
## Core 配置, Session 定义, SESSION_COOKIE_AGE 表示闲置多少秒后 session 过期, SESSION_EXPIRE_AT_BROWSER_CLOSE=true 表示关闭浏览器即 session 过期
# SESSION_COOKIE_AGE=86400
SESSION_EXPIRE_AT_BROWSER_CLOSE=true
## Koko Lion XRDP 组件配置
CORE_HOST=http://core:8080
## Lion 开启字体平滑
JUMPSERVER_ENABLE_FONT_SMOOTHING=true
## Nginx 文件上传大小
CLIENT_MAX_BODY_SIZE=4096m
## 终端使用宿主 HOSTNAME 标识
SERVER_HOSTNAME=${HOSTNAME}
## 额外的配置
CURRENT_VERSION=
通过宝塔进入终端,执行
cd /www/wwwroot/jumpserver-installer-*
./jmsctl.sh install
根据脚本的提示做出回答即可。大部分都可以直接回车使用默认设置,因为我们配置了config-example.txt
该文件。
Please enter MySQL server IP
输入IP
数据库名
端口号
用户名
密码
Please enter Redis server IP
输入IP
端口号
密码
注:Redis添加密码要重载配置,不然不会生效。
安装脚本会自动完成部署。
提示安装成功后,执行下面命令启动
./jmsctl.sh start
然后在宝塔面板网站选项卡内创建一个网站,并设置反向代理。
反向代理URL http://127.0.0.1:8080
点开配置文件,使用以下内容替换默认配置,否则web终端无法正常工作。
client_max_body_size 4096m; # 上传文件大小限制
location / {
# 这里的 ip 是后端 JumpServer nginx 的 ip
proxy_pass http://127.0.0.1:8080;
proxy_http_version 1.1;
proxy_buffering off;
proxy_request_buffering off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
}
出于安全考虑,你还可以设置堡垒机使用https访问
这时就可以使用你宝塔绑定的域名在浏览器中访问jumpserver了:
默认用户名:admin
默认密码:admin
第一次进入需要修改密码
- 先进入站点设置重新保存一下站点的URL
回到控制台 创建特权用户,也就是把你服务器的root用户密码添加到上面。
创建资产,这里以连接本机为例。特权用户选择刚才新创建的root用户
给自己办理授权
使用jumpserver自带的终端或者xshell等终端连接,完美
PS:如需使用xshell等终端连接堡垒机操作服务器,请使用以下服务器信息,请连接到堡垒机服务器的2222端口,并在鉴权时输入你jumpserver的用户名和密码,而不是root,如图
运维完成后,进入审计台享受jumpserver强大的审计和风险控制功能吧
END
如本资源侵犯了您的权益,请联系投诉邮箱admin@wmphp.com进行举报!我们将在收到邮件的1个小时内处理完毕。
本站仅为平台,发布的资源均为用户投稿或转载!所有资源仅供参考学习使用,请在下载后的24小时内删除,禁止商用!
Wmphp.com(完美源码)助力正版,如您有自己的原创产品,可以联系客服投稿,代理出售!
Wmphp.com(完美源码)客服QQ:136882447
Wmphp.com(完美源码)商务电话(仅对企业客户/个人用户):15120086569 (微信同步)
请注意:本站不提供任何免费的技术咨询服务,为了节约时间,下载前 请确认自己会技术
完美源码 » 宝塔搭建jumpserver开源堡垒机
完美源码 » 宝塔搭建jumpserver开源堡垒机