Jumpserver堡垒机应用部署

Jumpserver堡垒机应用部署

简介：

JumpServer 是一款开源的堡垒机系统，主要用于解决企业内部运维管理和审计的需求。堡垒机（也称为跳板机或运维审计系统）是一种网络安全设备，通常部署在网络的边界，作为管理员访问内部网络资源的唯一入口点。JumpServer 通过集中管理、监控和审计运维人员对服务器和其他网络设备的操作，提高了企业的安全性和合规性。

案例描述

本案例主要讲述了如何安装Jumpserver堡垒机应用，以及使用Jumpserver堡垒机对接OpenStack平台进行管理。

案例一、OpenStack平台对接堡垒机

案例准备

1.规划节点：

IP	主机名	节点
192.168.200.11	Controller	Openstack controller节点
192.168.200.13	Jumpserver	Openstack堡垒机节点

1.部署堡垒机

（1）修改主机名

[root@localhost ~]# hostnamectl set-hostname jumpserver

[root@localhost ~]# bash

关闭防火墙与SELinux

[root@jumpserver ~]# setenforce 0

[root@jumpserver ~]# systemctl stop firewalld && systemctl disable firewalld

Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.

显示当前的 iptables 规则集

[root@jumpserver ~]#  /usr/sbin/iptables-save

# Generated by iptables-save v1.4.21 on Tue Mar  5 09:36:46 2024

*nat

:PREROUTING ACCEPT [70:5460]

……

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [27:2020]

COMMI

# Completed on Tue Mar  5 09:36:46 2024

（3）配置本地Yum源

使用提供的软件包配置Yum源，使用远程连接工具自带的传输工具，将jumpserver.tar.gz软件包下载至jumpserver节点的/root目录下。

并将软件包jumpserver.tar,gz 解压至/opt/目录下

[root@localhost ~]# tar -zxvf jumpserver.tar.gz -C /opt/

compose/

compose/.env

compose/config_static/

compose/config_static/http_server.conf

……

ary.sqlite.bz2

jumpserver-repo/repodata/c99c232296268c2dc99137b42162945360d9ddfe526bc62dbcb4a6aecd2429c3-primary.xml.gz

jumpserver-repo/repodata/repomd.xml

static.env

查看/opt目录下的软件

[root@jumpserver ~]ls /opt/

(4)将默认Yum源移至其他目录，创建本地Yum源文件，命令及文件内容如下：

[root@jumpserver ~]# mv /etc/yum.repos.d/* /media/ 

[root@jumpserver ~]# vi /etc/yum.repos.d/jumpserver.repo

配置文件如下：

[jumpserver]

name=jumpserver

baseurl=file:///opt/jumpserver-repo

gpgcheck=0

enabled=1

（4）重启yum仓库并查看yum仓库和所有可用yum

[root@jumpserver ~]# yum clean all

[root@jumpserver ~]# yum repolist

1. 安装依赖环境

（5）安装python数据库，命令如下：

[root@jumpserver ~]# yum install python2 -y

1. 安装配置doker环境，命令如下：

[root@jumpserver ~]# cp -rf /opt/docker/* /usr/bin/

[root@jumpserver ~]# chmod 775 /usr/bin/docker*

[root@jumpserver ~]# cp -rf /opt/docker.service /etc/systemd/system/

[root@jumpserver ~]# chmod 755 /etc/systemd/system/docker.service

[root@jumpserver ~]# systemctl daemon-reload

[root@jumpserver ~]# systemctl enable docker --now

1. 验证docker服务状态，命令如下：

[root@jumpserver ~]# docker --version

[root@jumpserver ~]# docker-compose --version

1. 安装jumpserver服务

加载jumpserver服务组件镜像，命令如下：

[root@jumpserver ~]# cd /opt/images/

[root@jumpserver images]# sh load.sh

Sh load.sh结果如下：

87c8a1d8f54f: Loading layer   72.5MB/72.5MB

b986ceddf07c: Loading layer  7.316MB/7.316MB

1eaab9ab89e0: Loading layer  29.25MB/29.25MB

603d0695860f: Loading layer  4.608kB/4.608kB

……

91957b2bf1e7: Loading layer  24.81MB/24.81MB

50719f16b831: Loading layer  1.536kB/1.536kB

ff17eebeca24: Loading layer  3.584kB/3.584kB

Loaded image: jumpserver/redis:6-alpine

（9）创建jumpserver服务组件目录，命令如下：

[root@localhost images]# mkdir -p /opt/jumpserver/{core,koko,lion,mysql,nginx,redis}

[root@localhost images]# cp -rf /opt/config /opt/jumpserver/

（10）生效环境变量static.env，使用所提供的脚本up.sh启动jumpserver服务，命令如下：

[root@localhost images]# cd /opt/compose/

[root@localhost compose]# source /opt/static.env

[root@localhost compose]# sh up.sh

 Sh up.sh 结果如下： 

Creating network "jms_net" with driver "bridge"

Creating jms_redis ... done

Creating jms_mysql ... done

Creating jms_core  ... done

Creating jms_lina   ... done

Creating jms_celery ... done

Creating jms_luna   ... done

Creating jms_lion   ... done

Creating jms_nginx  ... done

Creating jms_koko   ... done

访问jumpserver堡垒机

（1）浏览器访问http://192.168.100.13，jumpserver web登录（admin/admin），如下图所示：

1. 用给出的账号和密码进行登录  登录成功更改新的密码。

更改密码后用原账号和新密码进行登录，出现一下结果说明登录成功。

至此jumpserver安装完成

使用jupmserver堡垒机连接openstack

（1）管理资产

使用管理员admin用户登录jumpserver管理平台，点击左侧导航栏，展开“资产管理”项目，选择“管理用户”，点击右侧“创建”按钮，如下图所示：

（2）创建远程连接用户，用户名为root密码为服务器密码，点击提交进行创建，如下图所示：

（3）选择“系统用户”，点击右侧“创建”按钮，创建系统用户，选择主机协议“SSH”，设置密码为服务器ssh密码，如下图所示：

（4）点击左侧导航栏，展开“资产管理”项目，选择“资产列表”，点击右侧“创建”按钮，如下图所示：

（5）创建资产，将云平台主机（controller）加入资产内，如下图所示：

（6）出现一下结果说明创建成功

图4-10 创建成功

（7）资产授权

点击左侧导航栏，展开“权限管理”项目，选择“资产授权”，点击右侧“创建”按钮，创建资产授权规则，如下图所示：

（8）测试连接

点击右上角管理员用户下拉箭头，选择“用户界面”，如下图所示：

如果未出现Default项目下两个资产主机，点击收藏夹后刷新按钮进行刷新，如下图所示：

（9）点击左侧导航栏，选择“Web终端”进入远程连接页面，如下图所示：

（10）点击左侧Default，展开文件夹，点击controller主机，右侧成功连接主机，如下图所示：

出现此结果说明成功连接