基于docker搭建jumpserver堡垒机

一、环境信息

  1、jumpserver 192.168.137.129 CentOS6.4   kernel版本为 3.10.5-3.el6.x86_64

  2、客户机 dev01-04

  3、docker镜像  jiaxiangkong/jumpserver_docker:0.3.2

二、在129上准备基本环境

  [root@localhost ~]# yum install -y epel-release

  [root@localhost ~]# yum install -y curl

  [root@localhost ~]# service iptables stop

  [root@localhost ~]# 关闭selinux

  升级内核到3.10.0以上(rpm包下载:http://pan.baidu.com/s/1cGrccQ)

  [root@localhost ~]# uname -r
  3.10.5-3.el6.x86_64

  安装docker

  [root@localhost ~]# yum install device-mapper-event-libs

  [root@localhost ~]# yum install -y https://get.docker.com/rpm/1.7.1/centos-6/RPMS/x86_64/docker-engine-1.7.1-1.el6.x86_64.rpm

  [root@localhost ~]# docker -v
  Docker version 1.7.1, build 786b29d

三、安装mysql数据库

  [root@localhost ~]# yum install -y mysql

  [root@localhost ~]# service mysqld start

  [root@localhost ~]# mysql -e "create database jumpdb charset='utf8';"

  [root@localhost ~]# mysql -e "grant all on jumpdb.* to 'jumpdb'@'%' identified by 'jumppasswd';"

  [root@localhost ~]# mysql -e "flush privileges;"

  [root@localhost ~]# mysql -e "show databases;"

四、安装jumpserver

  4.1拉取镜像

  [root@localhost ~]# docker pull jiaxiangkong/jumpserver_docker:0.3.2

  

  4.2、配置启动脚本并启动

  
 1 docker stop jms && docker rm jms
 2 docker run     --name jms \
 3         -p 2222:22 \
 4         -p 8888:80 \
 5         -v /root/jumpserver/jms_data:/data \
 6         -v /etc/localtime:/etc/localtime:ro \
 7         -e USE_MYSQL=1 \
 8         -e MYSQL_ENGINE=mysql \
 9         -e MYSQL_HOST=192.168.137.129\
10         -e MYSQL_PORT=3306 \
11         -e MYSQL_USER=jumpdb \
12         -e MYSQL_PASS=jumppasswd \
13         -e MYSQL_NAME=jumpdb \
14         -e USE_MAIL=true \
15         -e MAIL_ENABLED=1 \
16         -e MAIL_HOST=smtp.126.com \
17         -e MAIL_PORT=25 \
18         -e MAIL_USER=88888@126.com \
19         -e MAIL_PASS='88888=' \
20         -e MAIL_USE_TLS=False \
21         -e MAIL_USE_SSL=False \
22         --restart=always \
23         -d jumpserver:0.3.2
24 docker exec -ti jms /bin/sh /data/script/input_ip.sh
start_jms.sh

  docker容器有被删除重启的可能,这里将重要的数据挂载到宿主机是为了数据的保存,下次启动时,直接用这些数据

  (jms_data下载:http://pan.baidu.com/s/1cGrccQ)

  
1 # set url ip
2 ipaddr=$(ip a | grep "inet.*eth0" | awk -F '/' '{print $1}' | awk '{print $2}')
3 sed -i "s/url =/url = ${ipaddr}/" /jumpserver/jumpserver.conf
4 # set group link
5 rm -f /etc/group
6 ln -s /data/group /etc/group
input_ip.sh

  容器启动后,将容器ip配置到jumpserver.conf中,并给group建立软链接

  [root@localhost ~]# docker ps
  CONTAINER ID        IMAGE                                  COMMAND                CREATED             STATUS              PORTS                                        NAMES
  020843b328ca        jiaxiangkong/jumpserver_docker:0.3.2   "/bin/sh -c /run.sh"   22 hours ago        Up 3 hours          0.0.0.0:2222->22/tcp, 0.0.0.0:8888->80/tcp   jms

  4.3、访问 192.168.137.129:8888,密码默认都是admin

  

  

五、配置使用

   5.1、配置跳板机

  宿主机配置crontab任务,定时清理无效或超时的链接,这里设置的是3小时清理一次

  #宿主机创建定时任务
  * */3 * * * docker exec -i jms /usr/bin/python /jumpserver/manage.py crontab run 9956b75140f4453ab1dc4aeb62962a74 &

  5.2、登录192.168.137.129:8888,admin/admin

  创建用户组:运维、开发

  

  创建用户,选择不发送邮件(认证有问题,异常),成功后记录下用户信息,包含登录web的用户名和密码,跳板机密钥密码。

  

  设置客户端默认的管理用户密码(添加资产时可以选择默认管理用户,或者自行添加)

  

  创建资产组:DEV

  

  添加资产dev01-04,选择默认管理用户

  

  设置sudo别名,别名包含的命令,能以root权限(sudo的形式)执行,如果命令中有su,说明能sudo到root用户下

  

  添加系统用户并推送到dev01-04,如果客户端已经存在这个用户,不会改变用户当台,只会在$HOME/.ssh下添加跳板机生成的公钥)

  

  

  添加授权规则:跳板机A用户(组)对应客户机A用户(组),一一对应授权,授权之后即可通过跳板机A用户(组)跳转到客户机的A用户(组)

  用户→资产,用户→资产组,用户组→资产,用户组→用户组,可以指定多个系统用户

   

  在宿主机上手动执行,解除默认账号锁定的状态
        docker exec -ti jms sh /data/jms/script/open_shadow.sh kevin
        docker exec -ti jms sh /data/jms/script/open_shadow.sh poke

  
1 #!/bin/sh
2 sed -i "s/^$1:\!/$1:/" /etc/shadow
open_shadow.sh

5.2、使用跳板机

   根据创建用户时,返回的用户信息,下载密钥。

  配置xshell,ip为宿主机ip,端口为2222

  

  确认登录,返回操作界面

  

  查看容器日志

  

  OK

 

参考链接:https://github.com/jumpserver/jumpserver/wiki

 

转载于:https://www.cnblogs.com/ipoke/p/7477925.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值