Jumpserver堡垒机应用部署
简介:
JumpServer 是一款开源的堡垒机系统,主要用于解决企业内部运维管理和审计的需求。堡垒机(也称为跳板机或运维审计系统)是一种网络安全设备,通常部署在网络的边界,作为管理员访问内部网络资源的唯一入口点。JumpServer 通过集中管理、监控和审计运维人员对服务器和其他网络设备的操作,提高了企业的安全性和合规性。
案例描述
本案例主要讲述了如何安装Jumpserver堡垒机应用,以及使用Jumpserver堡垒机对接OpenStack平台进行管理。
案例一、OpenStack平台对接堡垒机
案例准备
1.规划节点:
IP | 主机名 | 节点 |
192.168.200.11 | Controller | Openstack controller节点 |
192.168.200.13 | Jumpserver | Openstack堡垒机节点 |
1.部署堡垒机
(1)修改主机名
[root@localhost ~]# hostnamectl set-hostname jumpserver
[root@localhost ~]# bash
关闭防火墙与SELinux
[root@jumpserver ~]# setenforce 0
[root@jumpserver ~]# systemctl stop firewalld && systemctl disable firewalld
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
显示当前的 iptables 规则集
[root@jumpserver ~]# /usr/sbin/iptables-save
# Generated by iptables-save v1.4.21 on Tue Mar 5 09:36:46 2024
*nat
:PREROUTING ACCEPT [70:5460]
……
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [27:2020]
COMMI
# Completed on Tue Mar 5 09:36:46 2024
(3)配置本地Yum源
使用提供的软件包配置Yum源,使用远程连接工具自带的传输工具,将jumpserver.tar.gz软件包下载至jumpserver节点的/root目录下。
并将软件包jumpserver.tar,gz 解压至/opt/目录下
[root@localhost ~]# tar -zxvf jumpserver.tar.gz -C /opt/
compose/
compose/.env
compose/config_static/
compose/config_static/http_server.conf
……
ary.sqlite.bz2
jumpserver-repo/repodata/c99c232296268c2dc99137b42162945360d9ddfe526bc62dbcb4a6aecd2429c3-primary.xml.gz
jumpserver-repo/repodata/repomd.xml
static.env
查看/opt目录下的软件
[root@jumpserver ~]ls /opt/
(4)将默认Yum源移至其他目录,创建本地Yum源文件,命令及文件内容如下:
[root@jumpserver ~]# mv /etc/yum.repos.d/* /media/
[root@jumpserver ~]# vi /etc/yum.repos.d/jumpserver.repo
配置文件如下:
[jumpserver]
name=jumpserver
baseurl=file:///opt/jumpserver-repo
gpgcheck=0
enabled=1
(4)重启yum仓库并查看yum仓库和所有可用yum
[root@jumpserver ~]# yum clean all
[root@jumpserver ~]# yum repolist
- 安装依赖环境
(5)安装python数据库,命令如下:
[root@jumpserver ~]# yum install python2 -y
- 安装配置doker环境,命令如下:
[root@jumpserver ~]# cp -rf /opt/docker/* /usr/bin/
[root@jumpserver ~]# chmod 775 /usr/bin/docker*
[root@jumpserver ~]# cp -rf /opt/docker.service /etc/systemd/system/
[root@jumpserver ~]# chmod 755 /etc/systemd/system/docker.service
[root@jumpserver ~]# systemctl daemon-reload
[root@jumpserver ~]# systemctl enable docker --now
- 验证docker服务状态,命令如下:
[root@jumpserver ~]# docker --version
[root@jumpserver ~]# docker-compose --version
- 安装jumpserver服务
加载jumpserver服务组件镜像,命令如下:
[root@jumpserver ~]# cd /opt/images/
[root@jumpserver images]# sh load.sh
Sh load.sh结果如下:
87c8a1d8f54f: Loading layer 72.5MB/72.5MB
b986ceddf07c: Loading layer 7.316MB/7.316MB
1eaab9ab89e0: Loading layer 29.25MB/29.25MB
603d0695860f: Loading layer 4.608kB/4.608kB
……
91957b2bf1e7: Loading layer 24.81MB/24.81MB
50719f16b831: Loading layer 1.536kB/1.536kB
ff17eebeca24: Loading layer 3.584kB/3.584kB
Loaded image: jumpserver/redis:6-alpine
(9)创建jumpserver服务组件目录,命令如下:
[root@localhost images]# mkdir -p /opt/jumpserver/{core,koko,lion,mysql,nginx,redis}
[root@localhost images]# cp -rf /opt/config /opt/jumpserver/
(10)生效环境变量static.env,使用所提供的脚本up.sh启动jumpserver服务,命令如下:
[root@localhost images]# cd /opt/compose/
[root@localhost compose]# source /opt/static.env
[root@localhost compose]# sh up.sh
Sh up.sh 结果如下:
Creating network "jms_net" with driver "bridge"
Creating jms_redis ... done
Creating jms_mysql ... done
Creating jms_core ... done
Creating jms_lina ... done
Creating jms_celery ... done
Creating jms_luna ... done
Creating jms_lion ... done
Creating jms_nginx ... done
Creating jms_koko ... done
访问jumpserver堡垒机
(1)浏览器访问http://192.168.100.13,jumpserver web登录(admin/admin),如下图所示:
- 用给出的账号和密码进行登录 登录成功更改新的密码。
更改密码后用原账号和新密码进行登录,出现一下结果说明登录成功。
至此jumpserver安装完成
使用jupmserver堡垒机连接openstack
(1)管理资产
使用管理员admin用户登录jumpserver管理平台,点击左侧导航栏,展开“资产管理”项目,选择“管理用户”,点击右侧“创建”按钮,如下图所示:
(2)创建远程连接用户,用户名为root密码为服务器密码,点击提交进行创建,如下图所示:
(3)选择“系统用户”,点击右侧“创建”按钮,创建系统用户,选择主机协议“SSH”,设置密码为服务器ssh密码,如下图所示:
(4)点击左侧导航栏,展开“资产管理”项目,选择“资产列表”,点击右侧“创建”按钮,如下图所示:
(5)创建资产,将云平台主机(controller)加入资产内,如下图所示:
(6)出现一下结果说明创建成功
图4-10 创建成功
(7)资产授权
点击左侧导航栏,展开“权限管理”项目,选择“资产授权”,点击右侧“创建”按钮,创建资产授权规则,如下图所示:
(8)测试连接
点击右上角管理员用户下拉箭头,选择“用户界面”,如下图所示:
如果未出现Default项目下两个资产主机,点击收藏夹后刷新按钮进行刷新,如下图所示:
(9)点击左侧导航栏,选择“Web终端”进入远程连接页面,如下图所示:
(10)点击左侧Default,展开文件夹,点击controller主机,右侧成功连接主机,如下图所示:
出现此结果说明成功连接