Jumper Server 堡壘機搭建過程
背景說明
- 公司組織考覈, 要對一套系統進行安全設置.有一個項目是使用堡壘機進行登錄
- 堡壘機有多種用途,可以實現日誌審計和安全設置等.
- 買商業設備的話太困難了,不如使用開源的額Jumper Server進行簡單應急處理
- 如下簡單記錄本次搭建過程和遇到的坑.
遇到的坑
- 使用Jumper Server v2.17.3的版本進行搭建:
使用jms_all進行allinone部署.發現會出現錯誤
Perform migrate failed, exit
退而求其次使用tar包裏面的命令行進行安裝
依舊如此.
不管是使用內置數據庫,還是外置數據庫.
懷疑版本存在問題,進行回退.
獲取安裝介質
https://community.fit2cloud.com/#/products/jumpserver/downloads
- 注意我這次選擇的是 2.13.1的版本.這個是完整安裝包.比較大.
wget https://github.com/jumpserver/installer/releases/download/v2.13.1/jumpserver-installer-v2.13.1.tar.gz
可以獲取安裝腳本從網上獲取安裝也可以.
進行安裝
- 因爲家裏網絡較差採用 下載github命令方式安裝.
tar -zxvf xxx && cd xxxx
./jmsctl.sh install
本次爲了快速. 一開始手工建了數據庫. 但是本次未進行.
直接使用內置數據庫即可, 一路next
會自動安裝docker 安裝docker-compose
自動拉取鏡像以及進行數據庫的初始化操作.
安裝完成之後需要啓動
./jmsctl.sh start
外置數據庫的設置
create database jumpserver default charset 'utf8';
create user 'jumpserver'@'%' identified by 'yourpassword';
grant all on jumpserver.* to 'jumpserver'@'%';
flush privileges;
## MySQL 配置, USE_EXTERNAL_MYSQL=1 表示使用外置 MySQL, 請輸入正確的 MySQL 信息
USE_EXTERNAL_MYSQL=1
DB_HOST=10.110.xx.xx
DB_PORT=3306
DB_USER=jumpserver
DB_PASSWORD=yourpassword
DB_NAME=jumpserver
## Redis 配置, USE_EXTERNAL_REDIS=1 表示使用外置 Redis, 請輸入正確的 Redis 信息
USE_EXTERNAL_REDIS=1
REDIS_HOST=10.110.xx.xx
REDIS_PORT=6379
REDIS_PASSWORD=yourpassword
- 注意 需要關閉防火牆或者是開放端口
- 如果必須開啓防火牆, 那麼docker 網橋的ip地址需要單獨查看後進行開放
設置https訪問
- 建議申請一個域名 對應jumper server的地址
- 建議再申請一個證書, 使用https
- 使用nginx 方向代理 jumper Server的80端口.
- 將機器默認80端口實現禁止訪問,保證安全.
- 這種方式最爲簡單. 但是需要注意的話 需要對每一個請求進行web socket協議升級
設置用戶
- Jumper Server的默認用戶是 admin/admin
- 注意登錄用戶後立馬需要進行密碼修改
- 設置好密碼需要進行下一步操作.
用戶設置
- 登錄Jumper Server 之後需要進行一些簡要設置
1. 添加用戶分組, 用戶分組可以用於分配資產
2. 添加用戶, 注意用戶名字段,可以是中文,用於登錄.注意可以添加爲管理員也可以添加爲僅是業務用戶.
3. 資產管理-系統用戶-添加特權用戶. 建議可以設置多個特權用戶,不同的分組機器可以使用不同的密碼
4. 添加資產-輸入地址信息,分組信息,以及輸入特權用戶,注意這個特權用戶需要與添加資產的機器密碼保持一直纔可以登錄.
5. 權限管理-資產授權-創建資產授權規則-注意可以給用戶分組和資產分組同時授權實現一定程度上的RBAC
6. 切換登錄web用戶. 打開web端就可以管理了
簡要效果