Linux部署开源堡垒机JumpServer详细教程_grant all privileges on jumpserver(1)

最全的Linux教程，Linux从入门到精通

======================

1. linux从入门到精通(第2版)

2. Linux系统移植

3. Linux驱动开发入门与实战

4. LINUX 系统移植 第2版

5. Linux开源网络全栈详解 从DPDK到OpenFlow

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

下载jumpserver

此文档部署的版本为2.10.3版本

root用户操作

cd /opt

wget https://github.com/jumpserver/installer/releases/download/v2.10.3/jumpserver-installer-v2.10.3.tar.gz

tar -xf jumpserver-installer-v2.10.3.tar.gz

cd jumpserver-installer-v2.10.3

安装jumpserver

root用户操作

./jmsctl.sh install

数据库配置外部mysql，配置正确的IP、端口、数据库名、用户名及密码

配置外部Redis，配置正确的IP、端口、密码

配置jumpserver

root用户操作

cd /opt/jumpserver/config/

vi config.txt

修改配置内容 HTTP_PORT的端口为8080，如下所示：

Nginx配置

安装nginx

配置nginx安装源

vi /etc/yum.repos.d/nginx.repo

添加以下内容，并保存

[nginx-stable]

name=nginx stable repo

baseurl=http://nginx.org/packages/centos/$releasever/$basearch/

gpgcheck=1

enabled=1

gpgkey=https://nginx.org/keys/nginx_signing.key

module_hotfixes=true

[nginx-mainline]

name=nginx mainline repo

baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/

gpgcheck=1

enabled=1

gpgkey=https://nginx.org/keys/nginx_signing.key

module_hotfixes=true

yum repolist

安装nginx

yum install nginx -y

设置开机自启

systemctl enable nginx

反向代理设置

mv /etc/nginx/conf.d/default.conf /root

vi /etc/nginx/conf.d/jumpserver.conf

添加以下内容，并保存

server {

listen 80;

return 301 https://$host$request_uri;

}

server {

listen 443 ssl;

ssl_certificate      cert/server.crt;  # 自行设置证书

ssl_certificate_key  cert/server.key;  # 自行设置证书

ssl_session_timeout 1d;

ssl_session_cache shared:MozSSL:10m;

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

ssl_prefer_server_ciphers off;

ssl_protocols TLSv1.1 TLSv1.2;

add_header Strict-Transport-Security “max-age=63072000” always;

client_max_body_size 5000m;  # 录像及文件上传大小限制

location / {

# 这里的 ip 是后端 JumpServer nginx 的 ip

proxy_pass http://localhost:8080;

proxy_http_version 1.1;

proxy_buffering off;

proxy_request_buffering off;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection “upgrade”;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header Host $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

}

复制证书到/etc/nginx/cert 目录下（如果cert目录不存在，手动创建）

cd /etc/nginx

mkdir cert

cp -rf /opt/jumpserver/config/nginx/cert/* /etc/nginx/cert/

启动nginx

systemctl start nginx

配置防火墙

firewall-cmd --permanent --zone=public --add-port=80/tcp

firewall-cmd --permanent --zone=public --add-port=443/tcp

firewall-cmd --reload

启动jumpserver

root用户执行

cd /opt/jumpserver-installer-v2.10.3

./jmsctl.sh start

SELINUX规则设置

本部署文档，没有提及关闭SELINUX或设置SELINUX 模式为Permissive，如果关闭了SELINUX或模式为Permissive，可以不操作这个设置。

SELINUX 模式为Enforcing时，nginx开启反向代理到本机nginx其它端口时，会被阻止，如下所示：

浏览器打开网址 https://192.168.56.112

登录服务器，查看Nginx错误日志

grep Permission /var/log/nginx/error.log

查看SELinux的审计日志

grep denied /var/log/audit/audit.log

初步分析SELinux的审计日志，可以看到nginx进程的SELinux scontext type为httpd_t，而被请求对象8080的SELinux tcontext type为http_cache_port_t，两者不匹配，且没有从属关系。

借助于audit2why工具，执行grep 1624599459.111:447 /var/log/audit/audit.log | audit2why命令（标红部分是日志中实际存在的audit值），让audit2why帮助我们找到解决办法。查看该命令的输出，可以看到我们的初步分析是正确的，而其给出的建议如下：

所以需要进行以下设置：（或者把SELINUX 模式改成Permissive）

getsebool httpd_can_network_connect

setsebool -P httpd_can_network_connect on

或

setsebool -P httpd_can_network_connect 1

重启nginx服务

systemctl restart nginx

重启后，重新刷新网页

登录jumpserver

为了做好运维面试路上的助攻手，特整理了上百道 【运维技术栈面试题集锦】 ，让你面试不慌心不跳，高薪offer怀里抱！

这次整理的面试题，小到shell、MySQL，大到K8s等云原生技术栈，不仅适合运维新人入行面试需要，还适用于想提升进阶跳槽加薪的运维朋友。

本份面试集锦涵盖了

• 174 道运维工程师面试题
• 128道k8s面试题
• 108道shell脚本面试题
• 200道Linux面试题
• 51道docker面试题
• 35道Jenkis面试题
• 78道MongoDB面试题
• 17道ansible面试题
• 60道dubbo面试题
• 53道kafka面试
• 18道mysql面试题
• 40道nginx面试题
• 77道redis面试题
• 28道zookeeper

总计 1000+ 道面试题， 内容 又全含金量又高

• 174道运维工程师面试题

1、什么是运维?

2、在工作中，运维人员经常需要跟运营人员打交道，请问运营人员是做什么工作的?

3、现在给你三百台服务器，你怎么对他们进行管理?

4、简述raid0 raid1raid5二种工作模式的工作原理及特点

5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?

6、Squid、Varinsh和Nginx有什么区别，工作中你怎么选择?

7、Tomcat和Resin有什么区别，工作中你怎么选择?

8、什么是中间件?什么是jdk?

9、讲述一下Tomcat8005、8009、8080三个端口的含义？

10、什么叫CDN?

11、什么叫网站灰度发布?

12、简述DNS进行域名解析的过程?

13、RabbitMQ是什么东西?

14、讲一下Keepalived的工作原理?

15、讲述一下LVS三种模式的工作过程?

16、mysql的innodb如何定位锁问题，mysql如何减少主从复制延迟?

17、如何重置mysql root密码?

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

8、什么是中间件?什么是jdk?

9、讲述一下Tomcat8005、8009、8080三个端口的含义？

10、什么叫CDN?

11、什么叫网站灰度发布?

12、简述DNS进行域名解析的过程?

13、RabbitMQ是什么东西?

14、讲一下Keepalived的工作原理?

15、讲述一下LVS三种模式的工作过程?

16、mysql的innodb如何定位锁问题，mysql如何减少主从复制延迟?

17、如何重置mysql root密码?

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！