JumpServer-20190212-实验开源堡垒机

41 篇文章 0 订阅
25 篇文章 0 订阅

Intro

目前的应用场景是需要解决大量未经授权,拿到 root 账户之后,随意修改某些系统配置文件,导致业务出现问题时,debug 时间加长。所以,上收权限,统一入口,日志记录就变得很有意义。
开发堡垒机需要解决的问题

JumpServer 特性

JumpServer 特性

JumpServer 大版本的架构变化

v1.x

v1.x

v2.0

pexpect 改为 Paramiko,前端 UI 改进。

v3.0

v3.0

目前版本

目前版本
其实是可以看到 JumpServer 在演进的过程中一步步走向成熟,虽然还是有很多的问题存在,但是技术的革新过程是很明显的。
关于每个组件的详细说明,这里不多加赘述了,简单说分为 SSH 模块和 Web 模块两个部分。 JumpServer 主要 focus 在 Web 模块,来维护整个资产集群、用户授权等。剩下的 Luna、Coco 和 Guacamole 中, Luna 是 Web SSH 的前端,Coco 负责 SSH 、Telnet 和 Web Socket 的后台连接,Guacamole 则是负责 RDP 连接。大致可以这么理解,剩下的可以参详官网的说法。

安装

Docker 安装

简述一下:

#  1. 本地安装 mariadb,注意授权,否则容器内可能读取不了
yum -y install mariadb mariadb-devel mariadb-server
systemctl enable mariadb
systemctl start mariadb
systemctl status mariadb
export DB_PASSWORD=password
# 注意这个 % 表示任意节点都可以访问该 mysql 服务
mysql -uroot -e "create database jumpserver default charset 'utf8'; grant all on jumpserver.* to 'jumpserver'@'%' identified by '$DB_PASSWORD'; flush privileges;"

#  2. 本地安装 redis,注意需要设置为外部可访问,否则同上
yum install epel-release
yum install redis
systemctl enable redis
systemctl start redis
# 修改 redis 可以被其他节点访问
vi /etc/redis.conf 
    bind 0.0.0.0
systemctl restart redis

# 3. docker run,注意端口绑定之后,服务器对外的这些端口的防火墙需要也对应打开
docker run --name jms_all -d \
-v /opt/mysql:/var/lib/mysql \
-p 80:80 \
-p 2222:2222 \
-e BOOTSTRAP_TOKEN=token \
-e DB_ENGINE=mysql \
-e DB_HOST=192.168.10.128 \
-e DB_PORT=3306 \
-e DB_USER=jumpserver \
-e DB_PASSWORD=password \
-e DB_NAME=jumpserver \
-e REDIS_HOST=192.168.10.128 \
-e REDIS_PORT=6379 \
-e REDIS_PASSWORD= \
jumpserver/jms_all:latest

Ubuntu 16.04 物理节点上本地安装

和 docker 安装没有太大出入,或者可以说,跟着官网安装,基本没啥大问题,官网中本地安装比 docker 的部分详细很多。
除了 nginx 的部分写错了一个目录名称:/etc/nginx/site-enabled/ 应该是 /etc/nginx/sites-enabled/。

另:如果 Ubuntu 本地配置的 repo 没有 python 3,那么可以 apt-add-repository。
Ubuntu14.04 安装 python3.6

遗留问题

接下来,还需要 focus 一些问题:

  1. vi 内的操作记录不了
  2. 认证走 LDAP
  3. 节点操作的权限申请及审批后续如何设计
  4. 应用、后台数据和数据库的 HA :mysql / redis / 应用 / 录像信息的共享存储
  5. 系统用户可根据操作新加,但是删除操作并不会在机器上做对应操作
  6. 如何减小运维成本,将 JumpServer 和 已有系统进行联动操作,包括 vsphere,是否有必要再做一个 cmdb(JumpServer 有友好的 api 可以调用,URL:http://jumpserver_ip/docs)
  7. 进一步定制系统用户的权限,需要配合 ansible 或其他可操作物理节点的命令脚本

Reference

  1. 官网 - JumpServer demo 截图
  2. JumpServer 架构变化
  3. 官网 - JumpServer ubuntu 本地安装
  4. 官网 - JumpServer docker 安装

补充

  1. 资源删除之后,历史会话还在,授权会跟着被删除,若此时新加同名或同 ip 资源,JumpServer 会认为这是一个全新的节点,所以接下去的操作不会受到影响
  2. 资源组和用户组对于授权是一个很好的入口
  3. 后台会每小时定期检查管理帐号的联通性
  4. 4A 指的是 Account 帐号 / Authentication 认证 / Authorization 授权 / Audit 审计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值